Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Zoom prévoit de réserver le chiffrement de bout en bout à ses clients payants
Pour pouvoir collaborer avec le FBI au cas où ceux sur la version gratuite s'en servent « à de mauvaises fins »

Le , par Stéphane le calme

87PARTAGES

6  0 
Zoom a été l’un des grands bénéficiaires de cette pandémie : le service de visioconférence a vu son pic d’utilisation exploser au point de franchir la barre des 300 millions journaliers d’utilisateurs. Le revers de la médaille a été une attention particulière portée à l’application, notamment par des experts en sécurité. C’est dans ce contexte que des bogues ont été découverts, mais aussi le fait que les réunions Zoom ne supportaient pas le chiffrement de bout en bout.

Dans le livre blanc de Zoom, il existe une liste de « fonctionnalités de sécurité avant la réunion » disponibles pour l'hôte de la réunion qui commence par « Activer une réunion chiffrée de bout en bout (E2E) ». Plus loin dans le livre blanc, il est fait mention de « Sécuriser une réunion avec le chiffrement E2E » comme étant une « capacité de sécurité en réunion » disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre « Exiger le chiffrement pour les points de terminaison tiers » activé, les participants voient un cadenas vert qui dit, « Zoom utilise une connexion chiffrée de bout en bout » lorsqu'ils passent la souris dessus.

Mais lorsque l’entreprise a été contactée pour savoir si les réunions vidéo sont réellement chiffrées de bout en bout, un porte-parole de Zoom a écrit : « Actuellement, il n'est pas possible d'activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée sur une connexion TLS ».

Face à la réaction que cela a provoqué, l’entreprise a décidé de travailler sur ces points de sécurité. L’entreprise a d’abord rappelé que son offre était destinée principalement aux entreprises ; elle n’avait donc pas anticipé la popularité soudaine au sein des utilisateurs personnels.


Elle a proposé dans un premier temps une mise à jour de son application, Zoom 5.0. Cette dernière version s’est accompagnée de mesures de sécurité améliorées qui comprennent un chiffrement plus puissant, des mots de passe par défaut et une nouvelle icône pour un accès facile aux importants paramètres de sécurité. Ce service faisait appel à la norme de chiffrement AES 256 bits GCM. Bien qu’il ne s'agissait toujours pas d'un chiffrement de bout en bout, il venait rendre les réunions beaucoup plus sûres.

Puis Zoom a annoncé avoir fait l’acquisition de Keybase, dont l’équipe va apporter son expertise pour aider Zoom à construire un chiffrement de bout en bout pour ses vidéoconférences « qui pourront atteindre l'évolutivité actuelle de Zoom ».

Mais Eric S Yuan avait prévenu que cette technologie serait réservée aux clients payants : « Zoom offrira un mode de réunion chiffré de bout en bout à tous les comptes payants. Les utilisateurs connectés généreront des identités cryptographiques publiques qui sont stockées dans un référentiel sur le réseau de Zoom et peuvent être utilisées pour établir des relations de confiance entre les participants à la réunion. Une clé symétrique éphémère par réunion sera générée par l'hôte de la réunion. Cette clé sera distribuée entre les clients, enveloppée avec les paires de clés asymétriques et une rotation sera effectuée en cas de modifications importantes de la liste des participants. Les secrets cryptographiques seront sous le contrôle de l'hôte, et le logiciel client de l'hôte décidera quels appareils sont autorisés à recevoir les clés de la réunion, et ainsi rejoindre la réunion. Nous étudions également des mécanismes qui permettraient aux utilisateurs d'entreprise de fournir des niveaux d'authentification supplémentaires.

« Ces réunions chiffrées de bout en bout ne prendront pas en charge les ponts téléphoniques, l'enregistrement dans le cloud ou les systèmes de salle de conférence non Zoom. Les participants à Zoom Rooms et Zoom Phone pourront y assister s'ils sont explicitement autorisés par l'hôte. Les clés de chiffrement seront étroitement contrôlées par l'hôte, qui admettra les participants. Nous pensons que cela offrira une sécurité équivalente ou meilleure que les plateformes de messagerie chiffrées de bout en bout des consommateurs, mais avec la qualité et le niveau de vidéo qui ont fait de Zoom le choix de plus de 300 millions de participants aux réunions quotidiennes, y compris ceux de certains des plus grands du monde entreprises ».

Un chiffrement de bout en bout qui sera réservé aux clients payants

Si cette information n’avait pas retenu l’attention du public qui s’était plutôt concentré sur une disponibilité ultérieure du chiffrement de bout en bout, le PDG de Zoom est revenu à la charge lors d’un appel téléphonique avec les analystes pour indiquer que les utilisateurs de la version gratuite n’allaient pas en bénéficier :

« Bien sûr nous ne voulons pas donner accès [au chiffrement de bout en bout] aux utilisateurs gratuits parce que nous voulons également travailler avec le FBI, avec les forces de l'ordre locales au cas où certaines personnes utiliseraient Zoom à de mauvaises fins ».


Le fournisseur de vidéoconférence Zoom prévoit donc de renforcer le chiffrement des appels vidéo des clients payants et des institutions telles que les écoles, mais pas par les utilisateurs des versions gratuites de l’application, a déclaré un responsable de la société.

La société a discuté de cette décision avec des groupes de défenses des libertés civiles et des combattants des abus sexuels sur enfants jeudi, et le consultant en sécurité de Zoom, Alex Stamos, l'a confirmé vendredi. Dans une interview, Stamos a déclaré que le plan était susceptible de changer et qu'il n'était pas encore clair qui, le cas échéant, des organisations à but non lucratif ou d'autres utilisateurs, tels que les dissidents politiques, pourraient se qualifier pour disposer de comptes permettant d’avoir des réunions vidéo plus sécurisées. Il a ajouté qu'une combinaison de facteurs technologiques, de sécurité et commerciaux est entrée en considération, ce qui a suscité des réactions mitigées de la part des défenseurs de la vie privée.

Zoom a attiré des millions de clients gratuits et payants dans le contexte de la pandémie, en partie parce que les utilisateurs pouvaient rejoindre une réunion sans avoir à s'inscrire. Mais cela a permis aux fauteurs de troubles de se glisser dans les réunions, parfois après avoir prétendu être des invités.

Gennie Gebhart, chercheuse à l'Electronic Frontier Foundation qui a participé à l'appel de jeudi, a déclaré qu'elle espérait que Zoom changerait de cap et proposerait plus largement des vidéos protégées.

Mais Jon Callas, technologue de l'American Civil Liberties Union, a déclaré que la stratégie semblait être un compromis raisonnable. Les experts en sécurité et les forces de l'ordre ont averti que les prédateurs sexuels et autres criminels utilisent de plus en plus des communications chiffrées pour éviter d'être détectés.

« Ceux d'entre nous qui passons par des communications sécurisées sommes convaincus que nous devons réagir face aux choses vraiment horribles qui se passent », a déclaré Callas, qui vendait auparavant des services de chiffrement payants. « Faire payer de l'argent pour le chiffrement de bout en bout est un moyen de se débarrasser de la racaille », y compris les spammeurs et autres utilisateurs malveillants qui profitent de services gratuits.

Sources : Eric S Yuan, Reuters

Et vous ?

Que pensez-vous de cette décision de donner accès au chiffrement de bout en bout uniquement aux clients payants ?
Que pensez-vous des raisons évoquées pour le faire ?

Voir aussi :

Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré, et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur
Microsoft Teams fait un bond de 70 % pour atteindre 75 millions d'utilisateurs actifs quotidiens et contrairement à certaines estimations se rapproche plus vite de Zoom
Eric Yuan, le PDG et fondateur de Zoom, a gagné près de 4 milliards de dollars en l'espace de trois mois suite à l'explosion de l'utilisation de sa plateforme en pleine pandémie de coronavirus

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de scandinave
Membre éclairé https://www.developpez.com
Le 03/06/2020 à 19:15
Je ne comprends pas ce monde ou une entreprise vend un soft close source, ment sur ce que fait réellement ce soft, promets d'améliorer cela une fois qu'elle s'est faite pincée et les utilisateurs continuent à utiliser leurs produits ...

Pour moi la confiance est fondamentale. Si une boite ou une personne vous la met à l'envers une fois rien ne l’emperchera de recommencer.
6  0 
Avatar de Pythalex
Membre à l'essai https://www.developpez.com
Le 03/06/2020 à 18:46
Donc si j'ai bien compris : "On coopère avec le FBI pour ne pas aider les clients ayant des 'mauvaises fins', sauf s'ils nous payent ?"
4  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 03/06/2020 à 19:39
Citation Envoyé par Pythalex Voir le message
Donc si j'ai bien compris : "On coopère avec le FBI pour ne pas aider les clients ayant des 'mauvaises fins', sauf s'ils nous payent ?"
oui pour pouvoir les identifier plus facilement. Ceux qui payent, on sait qui c'est, ils payent.

Citation Envoyé par scandinave Voir le message
Je ne comprends pas ce monde ou une entreprise vend un soft close source, ment sur ce que fait réellement ce soft, promets d'améliorer cela une fois qu'elle s'est faite pincée et les utilisateurs continuent à utiliser leurs produits ...

Pour moi la confiance est fondamentale. Si une boite ou une personne vous la met à l'envers une fois rien ne l’emperchera de recommencer.
Heuu, pour pouvoir recommencer, il faudrait d'abords qu'ils arrêtent
2  1 
Avatar de xhe11662
Membre du Club https://www.developpez.com
Le 04/06/2020 à 13:34
J'en peu plus de ses guignoles opportuniste

#jusquouirontils
0  0 
Avatar de Cpt Anderson
Membre expérimenté https://www.developpez.com
Le 04/06/2020 à 17:45
l'argumentaire bien foireux, comme on les aime !
0  0 
Avatar de Citrax
Membre averti https://www.developpez.com
Le 08/06/2020 à 22:04
"Wire" est crytpé de bout en bout depuis longtemps.

Ok c'est pas prevu pour des visioconference a la base, mais si tout le monde avait sauté dessus ils auraient pu innover.
0  0