Zoom: chiffrement bout en bout pour les utilisateurs payants

Les experts en sécurité informatique sont quelques peu déçus après avoir appris que l’application de vidéoconférence Zoom ne proposera un chiffrement de bout en bout qu’aux utilisateurs payants.

Le PDG de Zoom, Eric Yuang, a déclaré que la prochaine fonctionnalité de chiffrement de bout en bout ne s’appliquerait pas aux utilisateurs gratuits. Alex Stamos, ancien CIO de Facebook, qui travaille actuellement en tant que conseiller pour Zoom, a ensuite défendu cette politique dans un récent fil Twitter, expliquant que la société essaye de trouver un “équilibre”. D’une part, Zoom souhaite offrir la fonctionnalité de confidentialité étendue à ses utilisateurs, a-t-il déclaré. Mais d’un autre côté, la plate-forme doit encore être en mesure de travailler avec les forces de l’ordre fédérales et locales pour réduire les abus, tels que les bombardements Zoom, a-t-il déclaré.

“Zoom est confronté à de graves problèmes de sécurité”, a déclaré Stamos. «Lorsque les gens perturbent les réunions (parfois avec des discours de haine, du contenu pédophile, exposition aux enfants et autres comportements illégaux) qui peuvent être signalés par l’hôte. L’entreprise travaille avec les forces de l’ordre pour attraper les pires récidivistes. »

zoom

L’annonce a suscité des réactions négatives de la communauté de la sécurité informatique, qui a déclaré que des mesures de sécurité supplémentaires devraient être disponibles pour tous, qu’ils puissent ou non payer 15 $ par mois pour Zoom Pro.

«Peu importe la qualité de la cryptographie si vous ne pouvez pas l’activer. Chiffrement e2e pour TOUS les utilisateurs », a déclaré Charlie Miller, chercheur en sécurité informatique, sur Twitter.

Abus de la plateforme Zoom

Les «problèmes de sécurité légitimes» référencés par Stamos incluent divers comportements malveillants. L’application s’est trouvé de plus en plus pris pour cible par des «bombardements Zoom» qui détournent des réunions pour répandre des propos haineux ou espionner des données sensibles d’entreprises. Le problème a attiré l’attention des responsables du gouvernement américain, qui ont demandé que l’utilisation de Zoom soit suspendue après qu’une réunion du comité de surveillance de la Chambre des États-Unis ait été perturbée par un bombardement de Zoom en Avril.

Stamos, pour sa part, a déclaré que la grande majorité des abus de la plate-forme proviennent «d’utilisateurs en libre-service» avec de fausses identités: «Ces hôtes proviennent principalement de VPN, utilisent des adresses e-mail jetables, créent des organisations en libre-service et hébergent une poignée de réunions avant de créer une nouvelle identité », a-t-il dit.

Si les hôtes de réunion utilisent un chiffrement de bout en bout et souhaitent signaler un bombardement Zoom, a déclaré Stamos, «la solution probable sera un tampon de contenu des X dernières secondes sur le système de l’hôte qui peut être soumis à Zoom pour triage et action.”

Chiffrement bout en bout

Le sujet du chiffrement est essentiel pour Zoom car il intensifie ses mesures de sécurité et de confidentialité – en particulier après que diverses failles de sécurité et problèmes de confidentialité ont révélé des faiblesses dans la plate-forme de réunion en ligne et que sa base d’utilisateurs a augmenté pendant la pandémie de coronavirus.

“Le cryptage AES 256 GCM de Zoom est activé pour tous les utilisateurs de Zoom – gratuit et payant”, a déclaré un porte-parole de la société. «Zoom ne surveille pas de manière proactive le contenu des réunions et nous ne partageons pas d’informations avec les forces de l’ordre, sauf dans des circonstances telles que les abus sexuels sur des enfants. Nous n’avons pas de portes dérobées où n’importe qui peut entrer dans des réunions sans être visible pour les autres. Rien de tout cela ne changera. »

Cependant, il est important de noter la différence entre le chiffrement de bout en bout et le chiffrement de base. Alors que le chiffrement signifie que les messages en transit sont chiffrés, le chiffrement de bout en bout se produit lorsque le message est chiffré sur l’appareil de l’utilisateur source, reste chiffré pendant son routage via les serveurs, puis déchiffré uniquement sur l’appareil du destinataire.

Zoom a précédemment déclaré qu’il offrait un chiffrement bout en bout, mais cette affirmation marketing a été remise en question après un rapport de The Intercept qui a déclaré que la plateforme de Zoom utilise en fait le chiffrement TLS (Transport Layer Security), fournissant un chiffrement uniquement entre les utilisateurs individuels et les fournisseurs de services au lieu de chiffrer la communication directement entre les utilisateurs d’un système.

zoom

La plate-forme a commencé à déployer des plans de chiffrement de bout en bout en Mai, en commençant par l’acquisition d’une petite startup appelée Keybase dans l’espoir de fournir un chiffrement plus robuste pour les appels Zoom. La société a déclaré à l’époque que la fonctionnalité serait pour les abonnements payants, mais n’a pas donné de précision. Zoom a également distribué un design pour ses plans de chiffrement de bout en bout sur GitHub.

Le chercheur Bruce Schneier a déclaré dans un article que le document de design n’explique pas pourquoi le chiffrement de bout en bout n’est disponible que pour les clients payants.

«Cette décision n’affectera que les manifestants et les dissidents, les défenseurs des droits humains et les journalistes», a déclaré Schneier. “Bien sûr, vous devez offrir des fonctionnalités premium aux clients payants, mais veuillez ne pas inclure la sécurité et la confidentialité dans ces fonctionnalités premium. Ils devraient être accessibles à tous. »

Zoom n’a pas précisé quand sa fonction de chiffrement de bout en bout allait être déployée.

Si cet article vous a plu, jetez un œil à notre article précédent.