Getty Images/iStockphoto
Rachat de Keybase : Zoom promet un vrai « chiffrement de bout en bout » (mais ne dit pas comment)
Dans son projet de refondre en profondeur sa sécurité et sa confidentialité, Zoom a racheté un spécialiste du chiffrement. Mais ce qu’il va – et peut – en faire reste encore bien flou.
Zoom vient de mettre la main sur Keybase. L’éditeur de visioconférence et de softphony décrit celui-ci comme un « un service de messagerie (Chat) et de partage de fichiers sécurisé (EFSS) », ce qu’il est effectivement. Mais Keybase est aussi un service permettant d’authentifier ses utilisateurs par le truchement des services en ligne qu’ils utilisent – Twitter, GitHub, Reddit, etc. – ou encore une clé PHP voire l’adresse d’un portefeuille Bitcoin.
Si l’on peut se demander comment Zoom intégrera concrètement ces outils dans sa visioconférence, une chose est sûre : il intègre une très forte expertise en chiffrement et en sécurité (si tant est que les ingénieurs décident de rester chez Zoom, qui ne correspond peut-être pas à leur culture).
Le montant de l’acquisition n’a pas été communiqué, mais on peut penser que Zoom n’aura pas trop lésiné au regard de la campagne de critiques qu’il a essuyées, justement sur son chiffrement et sa sécurité.
Pour contrer cette mauvaise publicité, il avait lancé un projet de 90 jours, recruté l’ancien RSSI de Facebook (Alex Stamos), passé un accord avec Oracle, repensé l’accès à ses fonctionnalités de sécurité, affiné les options de routage des données, puis adopté une méthode de chiffrement plus robuste (AES-GCM 256-bit). Avec cette nouvelle décision qui fait partie de ce plan, il engage donc indirectement toute une équipe d’ingénieurs. « Nous sommes ravis d’intégrer l’équipe de Keybase dans la famille Zoom, pour nous aider à construire un chiffrement de bout en bout qui puisse supporter [notre] progression actuelle », confirme l’éditeur.
Et Zoom s’offre au passage un joli coup de communication : Keybase profite d’un capital confiance élevé au sein de la communauté de la cybersécurité. De nombreux experts du domaine en sont utilisateurs depuis plus ou moins longtemps.
Bout en bout ? Vraiment !?
L’expression qui a valu à Zoom une volée de bois vert de la part de ses actionnaires est lâchée à nouveau : « bout en bout ».
Rappelons qu’aucun des grands services de visioconférence actuels n’est chiffré « end to end » (Microsoft Teams, WebEx, BlueJeans, etc.) . Leurs flux sont, au mieux, chiffrés entre les clients des utilisateurs et le firewall du prestataire. Une fois sur les serveurs (de Microsoft, de Cisco ou autres), ils sont déchiffrés. Puis rechiffrés lorsqu’ils sont renvoyés vers les clients des utilisateurs.
Zoom le dit d’ailleurs très clairement. En tout cas au début de son communiqué. Lorsqu’il évoque « un chiffrement de bout en bout », les mots sont très pesés : « cette acquisition marque une étape clé dans notre démarche en cours [en VO : “attempt”] pour créer une plate-forme de communication vidéo véritablement confidentielle [en VO : “private”] ». La citation un peu plus haut dans cet article parle bien « d’aider à construire un chiffrement de bout en bout ».
Gestion des accès renforcés
La suite des explications de Zoom est malheureusement moins claire. L’éditeur promet, dans « un futur proche », de « proposer un mode de réunion chiffré de bout en bout à tous les comptes payés » (sic).
Mais l’explication enchaîne immédiatement en parlant de gestion des accès et des identités (ce qui est cohérent avec l’expertise de Keybase) pour « établir des relations de confiance entre les participants d’une réunion ». Rien à voir avec le chiffrement de bout en bout.
Pour ajouter du flou aux questions qui se posent déjà dans la communauté quelques minutes seulement après l’annonce, Zoom insiste en concluant que ces accès vérifiés par un processus très sécurisé de clés de chiffrement « offriront une sécurité équivalente ou supérieure à celle des plates-formes de messagerie chiffrées de bout en bout existantes, mais avec la qualité vidéo [de Zoom] ».
Parle-t-il de WhatsApp et autres Telegram ? Le billet de l’éditeur ne le dit pas. Mais il s’agirait alors de vidéo en face à face, non pas de réunions au sens strict qui est le cœur de métier de Zoom. Et sinon, l’expression « end to end » aurait une autre signification que « chiffré jusque sur les serveurs ». Mais laquelle ?
Bref, le service communication de Zoom a l’air d’aimer jouer avec le feu. Zoom devrait clarifier tous ces points dans un échange qui, promet-il, aura lieu le 22 mai. D’ici là, espérons pour lui que ce feu n’aura pas rallumé un incendie. Mais en attendant, l’annonce de l’opération apparaît accueillie avec circonspection, voire même méfiance. Alexandre Dulaunoy, du centre de réponse à incidents du Luxembourg, le Circl, entrevoit ainsi un risque : que les utilisateurs de Keybase – et même certains de ses développeurs – ne décident tout simplement de quitter le navire.
Zoom et le CLOUD Act
En parallèle de l’annonce du rachat de Keybase, Zoom a tenu à préciser qu’il « n’a pas conçu et ne concevra pas de mécanisme pour déchiffrer les réunions en direct à des fins d’interception légale ».
Le problème, là encore, est de savoir de quel chiffrement l’on parle. Il semble bien que cela concerne les flux en transit sur le réseau… puisque après cela, ils ne sont pas chiffrés. L’interception légale pourrait – éventuellement – se faire sans avoir à déchiffrer quoi que ce soit, en attendant que les données arrivent sur les serveurs.
« Nous n’avons pas non plus de moyen d’ajouter nos employés ou n’importe qui d’autre à des réunions sans que cela ne se voie dans la liste des participants », ajoute Zoom, toujours pour rassurer sur l’espionnage légal.
« Et nous ne construirons aucune porte dérobée pour permettre la surveillance secrète des réunions ». Autant de points en rapport avec le CLOUD Act et le Patriot Act que Zoom a le mérite d’aborder frontalement. Ce que ne font pas tous ses concurrents.