Zoom ne prend pas en charge le chiffrement de bout en bout lors des réunions en ligne

Zoom Doesn't Support End-to-End Encryption During Meetings

Mardi, le Premier ministre britannique, Boris Johnson, a publié un tweet avec lequel il montrait à ses partisans le fonctionnement de son cabinet pendant la crise provoquée par le roman coronavirus. La photo a montré une réunion en ligne entre le Premier ministre Johnson et ses collègues, et son objectif était simple - assurer à la nation que même en ces temps terribles, les politiciens britanniques continuent de travailler pour le plus grand bien de tous. Pour certaines personnes, il a probablement fait son travail de rappel du moral. Au sein de la communauté de la sécurité, cependant, cela a soulevé pas mal de sourcils.

La capture d'écran montre que le principal organe directeur du Royaume-Uni communique via Zoom, une plate-forme de visioconférence qui a connu un pic d'utilisation considérable grâce aux millions de personnes qui travaillent actuellement à domicile. En tant que solution de visioconférence, Zoom est assez solide, mais les spécialistes de la sécurité pensaient qu'une organisation aussi importante que le gouvernement britannique utiliserait probablement quelque chose de personnalisé et adapté à ses besoins. La deuxième chose que les spécialistes de la sécurité de l'information ont remarqué est que l'ID de la réunion Zoom était clairement visible dans le tweet de Boris Johnson, ce qui n'est pas vraiment une très bonne idée, surtout lorsque les questions discutées lors de ladite réunion sont si sensibles. Ensuite, les gens ont commencé à fouiller dans les supports marketing de Zoom, et les choses ont empiré.

Les réunions Zoom ne peuvent pas être chiffrées de bout en bout à ce stade

Mardi également, The Intercept a publié un rapport concernant l'une des options que Zoom offre à ses utilisateurs, et les politiciens et les responsables des grandes organisations devraient probablement le lire attentivement.

Lors de la création d'une réunion Zoom, un utilisateur peut activer le «cryptage pour les points de terminaison tiers». S'ils le font, les participants seront informés que la réunion est cryptée de bout en bout. Le livre blanc sur la sécurité publié par Zoom sur son site Web suggère également que ce type de cryptage est possible pour les réunions, mais l'enquête de The Intercept a révélé que ce n'est tout simplement pas vrai.

Les réunions vidéo Zoom sont cryptées, mais le cryptage n'est pas de bout en bout. Au lieu de cela, la vidéo et l'audio passent par une connexion TLS ou Transport Layer Security normale. Il s'agit de la même technologie utilisée par les sites Web et les applications lorsqu'ils diffusent du contenu via HTTPS. L'Intercept a sollicité Zoom pour commenter, et un porte-parole a admis qu'en raison des limitations technologiques, le véritable cryptage de bout en bout n'est disponible que pour les chats passant par la plateforme. Mais qu'est-ce que cela signifie réellement pour les personnes qui utilisent le service?

Comment le manque de chiffrement de bout en bout affecte-t-il les utilisateurs?

Les applications de messagerie comme WhatsApp et Telegram n'hésiteront pas à vanter l'utilisation du chiffrement de bout en bout et ses avantages en matière de confidentialité. Le principal avantage de la communication chiffrée de bout en bout est que, bien que les informations transitent par les serveurs du fournisseur de services, le fournisseur de services lui-même n'a pas les moyens de les déchiffrer.

Dans le cas de Zoom, grâce à TLS, les réunions sont protégées de toute personne qui renifle par la transmission audio et vidéo pendant qu'elle se déplace entre les appareils des utilisateurs et les serveurs de Zoom. Cependant, lorsqu'il est sur les serveurs, les employés de Zoom peuvent théoriquement le déchiffrer. Vont-ils le faire?

Les organismes chargés de l'application des lois peuvent demander à la plate-forme de conférence en ligne de divulguer des données sur des individus particuliers, mais la probabilité que vous en soyez affecté n'est pas si grande. L'absence de chiffrement de bout en bout est certainement un problème pour les politiciens comme Boris Johnson, mais pour la plupart des gens qui travaillent actuellement à domicile, cela ne devrait pas être si grave. Ce qui pose problème, cependant, c'est la tentative initiale de Zoom de minimiser l'erreur.

Après avoir été interrogé sur la cause de cette confusion, un porte-parole de Zoom a déclaré à The Intercept que par "chiffrement de bout en bout", ils voulaient dire que les données étaient chiffrées sur tous les "points de fin de zoom" et par "points de fin", ils signifiait les appareils des utilisateurs. Ce type d'interprétation libérale de concepts bien définis n'est pas vraiment acceptable, surtout si vous gardez à l'esprit que la plateforme dont nous parlons est utilisée par les gouvernements de certaines des superpuissances du monde. Finalement, Zoom a réalisé qu'il ne se faisait aucune faveur, et hier, il a publié un article de blog avec lequel il a admis qu'il laissait son équipe marketing s'emballer un peu. Les développeurs de la plate-forme se sont excusés de la confusion, et c'est maintenant à Boris Johnson et à des millions d'autres utilisateurs de Zoom de décider d'accepter ou non les excuses. Pendant qu'il y est, M. Johnson pourrait également réfléchir aux précautions de cybersécurité prises par son cabinet lors de l'organisation de ses réunions en ligne.

April 2, 2020

Laisser une Réponse