Zoom avait annoncé début juin que le chiffrement de bout en bout serait réservé aux utilisateurs payants car il voulait collaborer sur les cas perturbateurs avec les forces de l'ordre. Mais l'entreprise est revenue sur cette décision le 17 juin : le chiffrement de bout en bout, optionnel, sera testé dès le mois de juillet.

Zoom continue de prendre en compte les critiques. Le 2 juin, l’entreprise avait annoncé le déploiement attendu du chiffrement de bout en bout — un des plus hauts standards de sécurité des communications — sur ses vidéos. Seulement, le service de visioconférence prévoyait de le réserver à ses utilisateurs payants. Le CEO Eric Yuan avait justifié cette décision en expliquant que le groupe « veut travailler avec le FBI et avec les forces de l’ordre locales au cas où des personnes utilisent Zoom à mauvais escient. »

Cette déclaration a provoqué une levée de boucliers menée par de nombreux utilisateurs, des chercheurs en cybersécurité ou encore des défenseurs de la vie privée. Résultat, Zoom a rétropédalé deux semaines plus tard, le 17 juin. Dans un billet de blog, il annonce l’ouverture du chiffrement de bout en bout (E2EE) à tous les utilisateurs. Il sera testé de manière optionnelle en bêta « à partir du mois de juillet.  »

Le chiffrement de bout en bout ne sera pas activé par défaut, mais tous les utilisateurs pourront cocher l’option. // Source : Louise Audry pour Numerama.

Le chiffrement de bout en bout développé en moins de trois mois

Sévèrement critiqué sur ses techniques de chiffrement de ses conversations par un laboratoire de référence en avril, Zoom a rapidement réagi. L’entreprise a d’abord adopté un algorithme plus sécurisé pour le chiffrement routinier des vidéos. Puis elle s’est attaquée au développement du chiffrement de bout en bout en rachetant la startup Keybase pour piloter le projet. Ce standard de sécurité permet — en principe — d’éliminer une des vulnérabilités de la chaîne de communication.

Dans le fonctionnement normal du service de visioconférence, la conversation sera chiffrée, et donc illisible, si une personne l’intercepte grâce à un accès au wifi ou au réseau de télécommunication.

Avec l’E2EE, plus besoin de faire autant confiance à Zoom

En revanche, il existe un serveur central (contrôlé par défaut par Zoom), qui va s’occuper de déchiffrer et chiffrer à nouveau les flux vidéos. Sur ce nœud central, le flux vidéo est potentiellement lisible, dans le cas où un employé malveillant s’y intéresserait ou si un hacker parvenait à compromettre l’accès au serveur. L’E2EE va ajouter une couche de chiffrement supplémentaire qui rendra la conversation illisible tout du long, et seuls les participants auront accès à la clé de déchiffrement.

Les développeurs de l’entreprise ont publié un livre blanc sur GitHub (une plateforme de dépôt de code) pour expliquer comment ils comptaient s’y prendre pour mettre l’E2EE en place. La fonctionnalité n’est pas si évidente à déployer, comme nous vous l’expliquions il y a quelque temps, et chaque service peut avoir une méthode différente. En publiant le code, Zoom permet également à des développeurs extérieurs de relever des failles dans leur protocole.

Pour activer l’option, il faudra donner plus d’informations

Le chiffrement de bout en bout sera accessible à tous, mais il ne sera pas coché par défaut. Zoom rappelle dans son communiqué qu’il limite certaines fonctionnalités, comme la participation à la réunion depuis une ligne téléphonique (sans internet).

Pour l’activer, les utilisateurs de comptes gratuits devront donner des informations additionnelles, dont le détail n’est pas encore indiqué. La plateforme vérifiera notamment leur numéro de téléphone (via l’envoi d’un SMS), a précisé Eric Yuan. Les hôtes des réunions pourront ensuite décider d’activer ou non l’E2EE.

Zoom compte s’appuyer sur ce niveau d’authentification supplémentaire et sur son nouvel outil de signalement pour empêcher les utilisateurs malveillants de perturber les conversations. L’entreprise n’a pas plus commenté au sujet de la collaboration avec les forces de l’ordre, qui avait justifié la restriction de l’option aux utilisateurs payants.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux