Nouveau coup d’accélérateur pour Zoom. Depuis le 1er avril, et jusqu’à fin juin, le logiciel de visioconférence dédie l’intégralité de ses ressources à l’amélioration de sa sécurité. L’entreprise a déjà déployé le 22 avril une mise à jour baptisée Zoom 5.0 pour corriger ses défauts de sécurité les plus rudimentaires et rehausser le niveau de sécurité pour l’utilisateur moyen de l’app.
L’entreprise vient d’annoncer ce jeudi 7 mai qu’elle acquérait la startup Keybase pour implémenter à haut standard de sécurité qui manque aujourd’hui à son offre : le chiffrement de bout en bout. Il s’agit d’une garantie nécessaire pour certaines discussions critiques. Sans cette technologie, il est possible qu’un hacker, ou que l’entreprise elle-même puisse intercepter la réunion. Avec elle, la conversation ne sera compréhensible que sur les ordinateurs des participants à la réunion.
Le logiciel de visioconférence Zoom revendique plus de 300 millions de participants quotidiens à ses réunions. // Source : Louise Audry pour Numerama
Si Zoom s’investit sur cette fonctionnalité qui n’intéressera qu’une petite partie de sa clientèle, c’est notamment parce qu’il s’est fait épingler pour avoir faussement affirmé sur son site qu’il proposait le chiffrement de bout en bout pour la vidéo.
Zoom corrige ses gros défauts de chiffrement
Dans sa mise à jour d’avril, Zoom a changé son standard de chiffrement. Il utilisait le standard de chiffrement AES-256, mais dans le mode ECB, très critiqué. Le Citizen Lab, un laboratoire canadien de recherche en cybersécurité très respectée avait taclé cette décision : « Il est évident qu’il s’agit d’une mauvaise idée, car ce mode de chiffrement préserve certains motifs ». Pour expliquer ce problème, Citizen Lab avait repris une image de pingouin utilisée par Wikipedia. Certes, un acteur qui mettrait la main sur le flux vidéo ne verrait pas le détail, mais il pourrait en deviner le contenu grâce à la forme.
Le précédent chiffrement utilisé par Zoom ne suffisait pas à brouiller complètement l’image. // Source : Wikipedia
Dans sa mise à jour d’avril, Zoom est donc passé au mode GCM, plus conventionnel.
Si ce standard de sécurité est très élevé, et largement suffisant pour des conversations banales, car il empêche de lire les conversations au cas où elles seraient interceptées, il ne suffit pas toujours à l’échange de secret. Comme nous vous l’expliquions, dans le système qu’il — et plusieurs de ses concurrents — utilise aujourd’hui, la conversation peut être visible si une personne accède à un serveur central. Cette machine peut se trouver dans les datacenters de Zoom, ou chez le client s’il en a les capacités et s’il a fait la demande. Il reste donc un risque qu’une personne malveillante mette la main sur la conversation non chiffrée.
Pour effacer ce risque — qui n’expose qu’à des attaques de très haut niveau –, Zoom prévoit donc de mettre en place le chiffrement de bout en bout. Cette nouvelle norme va empêcher certaines fonctionnalités lorsqu’elle sera utilisée, comme celle de rejoindre la réunion avec un numéro de téléphone, puisque le chiffrement de bout en bout ne se faire que sur des conversations par internet. De même la fonctionnalité d’ enregistrement de la conversation sur le cloud ne sera pas compatible avec cette sécurité.
Le cofondateur de Keybase nommé directeur de la sécurité de Zoom
Zoom va donc déléguer l’implémentation du chiffrement de bout en bout à Max Krohn le fondateur de l’entreprise qu’elle vient d’acquérir. Il prendra la tête de l’équipe de sécurité du groupe, qui sera rejoint par une partie des 25 salariés de Keybase. Zoom prévoit de présenter un premier avancement sur le nouveau chiffrement dès le 22 mai.
Keybase est à l’origine un répertoire de clés de chiffrement publiques, qui propose également des fonctionnalités de messagerie et de partages de fichiers sécurisés. Ces fonctionnalités devraient être intégrées à la version payante de Zoom, mais cela prendra du temps, a déjà prévenu Max Krohn.
Qu’adviendra-t-ild e Keybase hors Zoom ?
Utilisé par des experts du domaine, le service doit être simplifié pour s’adapter à la diversité d’utilisateurs du logiciel de visioconférence. En revanche, les deux entreprises n’ont pas donné d’indications sur ce qu’il adviendra du service de Keybase en dehors de Zoom, et les utilisateurs peuvent s’en inquiéter puisqu’il sert à gérer leur connexion à divers comptes.
Il s’agit de la première acquisition de Zoom en 9 ans d’existence. Nul doute qu’elle est permise par la folle croissance de l’entreprise depuis le début du confinement : la valorisation de l’entreprise a doublé depuis le début des mesures de confinement dans les pays occidentaux. De son côté, Keybase avait levé plus de 10 millions de dollars depuis sa création en 2014 et avait sans aucun doute une belle valeur, mais le prix de l’acquisition n’a pas été précisé. Le site américain CNBC crédite Alex Stamos, l’ancien responsable de la sécurité de Facebook embauché comme consultant par Zoom, pour cette manœuvre stratégique.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
