Zoom déploie (enfin) le chiffrement de bout e bout pour tous ses utilisateurs

Spread the love
  • Yum

Zoom déploie (enfin) le chiffrement de bout e bout pour tous ses utilisateurs

L’application de vidéoconférence Zoom, grande gagnante du télétravail pendant la crise sanitaire, vient enfin de déployer le chiffrement de bout en bout pour toutes les réunions vidéo sur les appareils mobiles et de bureau après avoir été critiqué pour son utilisation d’un chiffrement “de qualité inférieure”. Ce mardi, la direction de la plateforme a en effet que le chiffrement de bout en bout (E2EE) est immédiatement disponible pour les utilisateurs sous Windows, macOS et Android.

La version iOS de l’application Zoom est néanmoins toujours en attente de l’approbation de l’App Store d’Apple. Elle est déployée en “avant-première technique” pendant 30 jours, au cours desquels Zoom vise à recueillir les commentaires des clients sur leur expérience avec E2EE. L’entreprise a fait part de son intention de déployer ses fonctionnalités E2EE la semaine dernière. La version de bureau avec support E2EE est la 5.4.0.

Dans le détail, Zoom génère des clés de cryptage individuelles qui sont utilisées pour crypter les appels vocaux et vidéo entre les participants à la conférence. Les clés sont stockées sur les appareils des utilisateurs et ne sont pas partagées avec les serveurs de Zoom, ce qui signifie que l’entreprise ne peut pas accéder au contenu des réunions ni l’intercepter. Le système E2EE de Zoom utilise un cryptage AES 256 bits en mode Galois/Compteur (GCM) pour protéger les réunions en ligne, a déclaré l’entreprise dans un communiqué.

publicité

Un chiffrement très attendu

Ce chiffrement de bout en bout était très attendu des utilisateurs de la plateforme. “Cette fonctionnalité a été très demandée par nos clients, et nous sommes ravis de la mettre en place”, a en effet reconnu Jason Lee, responsable du CISO de Zoom. 

“Félicitations à notre équipe de cryptage qui nous a rejoint depuis Keybase en mai et a développé cette impressionnante fonctionnalité de sécurité en six mois seulement”, a salué ce dernier, qui a rejoint la plateforme en juin dernier après avoir occupé un poste de direction dans le domaine de la cybersécurité chez Salesforce, où il supervisait l’infrastructure informatique, la réponse aux incidents, les renseignements sur les menaces, la gestion des identités et des accès, et la sécurité offensive.

Zoom avait mis les petits plats dans les grands pour répondre aux critiques. La plateforme avait ainsi acquis la société de cryptage Keybase en mai après avoir été critiquée pour avoir prétendu utiliser le chiffrement AES-256 pour sécuriser les appels vidéo alors qu’elle utilisait en fait ce que les chercheurs en sécurité ont qualifié de clé AES-128 “de qualité inférieure” en mode Electronic Codebook (ECB).

“Dans les réunions typiques, le serveur de réunion Cloud de Zoom génère des clés de chiffrement pour chaque réunion et les distribue aux participants à la réunion en utilisant les clients Zoom au fur et à mesure qu’ils se joignent. Avec le nouveau E2EE de Zoom, l’hôte de la réunion génère des clés de chiffrement et utilise la cryptographie à clé publique pour distribuer ces clés aux autres participants de la réunion”, a expliqué la direction de la plateforme.

Les version navigateur pas encore prises en charge

“Les serveurs de Zoom deviennent des relais inconscients et ne voient jamais les clés de chiffrement nécessaires pour décrypter le contenu de la réunion. Les données chiffrement relayées par les serveurs de Zoom sont indéchiffrables par Zoom, puisque les serveurs de Zoom ne possèdent pas la clé de déchiffrement nécessaire”, a-t-elle également précisé.

Zoom note que les administrateurs des comptes d’entreprise peuvent activer E2EE dans l’interface web au niveau du compte, du groupe et de l’utilisateur. En outre, une fois le système E2EE activé, l’hôte peut activer ou désactiver le système E2EE pour une réunion donnée.

Reste que la première phase du déploiement de Zoom ne prendra pas en charge le système E2EE dans un navigateur. Selon Zoom, les participants aux réunions doivent se joindre à la réunion à partir du client de bureau Zoom, de l’application mobile ou des salles Zoom pour les réunions compatibles avec le système E2EE.

Source : ZDNet.com

Leave a Reply

%d bloggers like this: