Depuis le 1er avril, Zoom adresse une à une toutes les critiques sur sa sécurité. L’entreprise a commencé par les plus gros problèmes, comme le Zoombombing, et désormais, elle affine ses options de sécurité les plus pointues.
Le service va prochainement déployer le chiffrement de bout en bout (E2E) — un des standards de sécurité des communications les plus élevés — pour ses vidéos. Cette nouveauté est grandement attendue. Le 3 avril, le réputé Citizen Lab avait sévèrement taclé le chiffrement des communications de Zoom, alors que quelques jours plus tôt, le site The Intercept avait exposé l’usage abusif du terme « chiffrement de bout en bout » dans son discours marketing. Sans le chiffrement de bout en bout, il existe des scénarios dans lesquels des personnes autres que les participants de l’appel (par exemple des hackers, ou des employés de Zoom, ou les forces de l’ordre) peuvent accéder au flux vidéo.
Le service de visioconférence a fait les efforts pour rattraper ses erreurs en achetant la startup Keybase le 7 mai pour mettre en place ce fameux chiffrement.
Le chiffrement de bout en bout ne sera disponible que sur les comptes payants. // Source : Louise Audry pour Numerama
Dans la conférence qui accompagnait ses résultats financiers le 2 juin, Zoom a précisé que l’option serait déployée, mais qu’elle ne serait pas accessible aux utilisateurs gratuits du service (sauf ceux qui profitent d’une offre liée au confinement, comme les établissements scolaires). D’autres services de visioconférences ont la même politique, et les leaders du marché n’activent pas le E2E par défaut.
L’histoire aurait pu s’arrêter là sans plus de remous, mais lors des questions face aux analystes, Bloomberg a relevé la justification du CEO Eric Yuan pour ce choix : « nous ne voulons pas donner le chiffrement de bout en bout aux utilisateurs gratuits, parce que nous voulons travailler avec le FBI et avec les forces de l’ordre locales au cas où des personnes utilisent Zoom à mauvais escient. »
Zoom veut travailler avec les autorités pour coincer les perturbateurs récidivistes
Pour rappel, Zoom vise une clientèle d’entreprise qu’elle équipe en comptes payants, avec notamment la possibilité de créer des « salles de réunions », des espaces virtuels fixes accessibles à toute heure. Les comptes gratuits — qui limitent les conversations à 40 minutes — ont alimenté l’immense croissance du groupe, qui revendique aujourd’hui plus de 300 millions de participants quotidiens à ses réunions. Mais l’entreprise a réussi à convertir une partie de ces utilisateurs en utilisateurs payants, et ainsi presque doublé son chiffre d’affaires sur le premier trimestre 2020 par rapport à l’an dernier.
Reste qu’il existe une bonne partie d’utilisateurs de comptes gratuits, et les propos d’Eric Yuan ont donc forcément soulevé des craintes. Alex Stamos, l’ancien directeur de la sécurité de Facebook recruté comme consultant par Zoom, s’est empressé de dégonfler la polémique. « Zoom fait face à des problèmes de sécurité sérieux. Quand des personnes interrompent les réunions (parfois avec des incitations à la haine entre autres comportements illégaux), cela peut être signalé à l’hôte de la réunion. Zoom travaille avec les forces de l’ordre sur les cas des pires récidivistes », précise-t-il dans un long message sur Twitter. Le chiffrement de bout en bout empêcherait d’accéder aux messages lancés par les personnes malveillantes, et donc de les rapporter aux forces de l’ordre pour qu’elles enquêtent.
Alex Stamos rappelle également que l’équipe de sécurité du logiciel de visioconférence peut entrer de façon visible dans une réunion si elle pense que la réunion relève de pratiques abusives. C’est donc cette chasse aux perturbateurs, que l’entreprise veut effectuer avec les forces de l’ordre, qui a alimenté les propos d’Eric Yuan. De son côté le chef de la sécurité a concédé que ces paroles sont « maladroites ». « J’ai l’habitude des CEO qui font ce genre de déclarations », s’amuse-t-il.
Les utilisateurs de comptes gratuits ne sont pas sans protection
Si les utilisateurs gratuits de Zoom n’auront pas accès à l’option de chiffrement de bout en bout, ils ne sont pas pour autant laissés sans protections, loin de là.Par défaut, le logiciel applique un chiffrement sur les conversations (comme ses concurrents). Elle a d’ailleurs récemment changé l’algorithme en charge de protéger les échanges, dont le Citizen Lab avait rappelé les lacunes. Concrètement, si une personne tierce essaie d’intercepter la conversation en hackant le wifi ou le réseau de communication des utilisateurs, il ne pourra pas lire la vidéo.
Le chiffrement de bout en bout bouche l’angle d’attaque des conversations
En revanche, il existe un serveur central — par défaut contrôlé par Zoom, qui propose aussi aux entreprises de l’installer chez elle pour qu’elles en aient le contrôle — qui déchiffre et rechiffre les flux vidéos entre les participants. C’est ici que se trouve le point faible de la sécurité : en accédant à ce serveur, un employé de Zoom, un cybercriminel ou des agences de renseignement pourraient en théorie accéder à la conversation sans protection. Le chiffrement de bout en bout corrigerait ce problème, avec une couche de chiffrement supplémentaire, dont seuls les participants auraient la clé.
Alex Stamos affirme que l’entreprise n’abusera jamais de son éventuel accès à ce serveur. « Zoom ne surveille pas de manière proactive les réunions, et ne le fera pas à l’avenir. Zoom n’enregistre pas les enregistrements de façon silencieuse. Cela ne changera pas. »
L’E2E permet de ne pas devoir faire confiance à Zoom
Si Zoom — comme Microsoft Teams ou Google Meet — n’active pas le E2E par défaut, c’est aussi parce qu’il est incompatible avec plusieurs fonctionnalités puisqu’il faut obligatoirement passer par Internet, comme le rappelle l’ancien dirigeant de Facebook. Avec l’E2E, il est impossible pour des participants de rejoindre l’appel depuis un numéro de téléphone, d’envoyer le flux vidéo sur un service de streaming (comme YouTube ou par exemple le site de l’Assemblée nationale) ou encore de garder une trace de la conversation sur le cloud.
Finalement, le E2E permet de protéger l’échange d’informations confidentielles de menaces extérieures sur une partie non contrôlée par les participants, au lieu de devoir faire confiance à Zoom sur la protection l’accès au serveur. Et peut-être que les organisations qui s’échangent des informations susceptibles d’intéresser les forces de l’ordre n’hésiteront pas à dépenser quelques centaines ou milliers d’euros dans la version payante de Zoom.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
