Chiffrement : Zoom entame sa longue marche vers le « bout en bout »
Zoom a publié un document qui trace les grandes lignes d’un projet, en quatre étapes, pour une visioconférence chiffrée de bout en bout. L’éditeur n’a pas encore prévu de date pour sa concrétisation.
Zoom, le spécialiste de la visioconférence, a présenté un plan en quatre phases pour la mise en œuvre d’un chiffrement de bout en bout. Un projet qui n’est pas sans défi majeur.
Chaque phase de ce plan améliorera la sécurité de Zoom mais laissera des vulnérabilités qui seront corrigées à l’étape suivante. Toutefois, le livre blanc publié sur github fournit moins de détails sur les dernières étapes du projet (celle du bout en bout à proprement dit).
Les utilisateurs seront le maître des clés
« C’est un sujet complexe » justifie Alan Pelz-Sharpe, fondateur de la société de recherche et de conseil Deep Analysis. « Vous ne pouvez pas ajouter du chiffrement de bout en bout, juste comme ça, en le branchant sur ce qui existe ».
Zoom n’a pas dit non plus quand le chiffrement de bout en bout serait lancé. Le service ne sera en revanche accessible qu’aux clients payants.
L’objectif de ce projet, qui ressemble à une longue marche, est de donner aux seuls clients le contrôle des clés utilisées pour déchiffrer leurs communications. Ce qui empêchera totalement les employés de Zoom de s’immiscer dans des conversations – chose qu’ils n’ont jamais faite, assure par ailleurs le président et fondateur de l’éditeur – ou d’en donner accès aux forces de l’ordre sur mandat de justice.
Zoom avait fait la promotion de son service en le présentant « chiffré de bout en bout ». Critiqué sur cette affirmation marketing, l’éditeur avait reconnu par la suite qu’il n’utilisait pas la définition communément admise par la communauté cybersécurité de ce terme. Une polémique et une action de groupe s’en sont suivies.
D’autres éditeurs continuent aujourd’hui d’affirmer qu’ils font « du bout en bout » sans en faire. Mais ceux-ci n’ont visiblement pas subi les mêmes critiques. Plus largement, Loïc Rousseau, le responsable de Zoom en France, regrettait récemment dans un échange avec le MagIT un deux poids deux mesures sur les questions de sécurité. « Des rapports disent que nos concurrents ne sont pas meilleurs élèves que nous en sécurité, mais personne ne parle d’eux » contre-attaquait Loïc Rousseau. « Sans vouloir faire Calimero, on a dérangé – parce que les utilisateurs plébiscitent notre outil ».
Une longue marche en quatre étapes
La première phase du nouveau plan de sécurité consistera à modifier le protocole de Zoom afin que ce soient les clients des utilisateurs – les applications installées en local et non les serveurs de Zoom – qui génèrent les clés de chiffrement. La deuxième phase permettra de lier ces clés de manière plus sûre aux utilisateurs individuels grâce à des partenariats avec des éditeurs de signature unique et des spécialistes de la gestion d’identité.
La troisième étape donnera aux clients une piste d’audit pour vérifier que ni Zoom ni personne d’autre, ne contourne le système. Et la quatrième introduira des mécanismes permettant de détecter les piratages en temps réel.
Zoom ne pourra néanmoins pas appliquer le protocole à tous les terminaux (SIP, téléphone, etc.).
Keybase à la baguette
L’activation du chiffrement de bout en bout désactivera par ailleurs certaines fonctionnalités. Les utilisateurs ne pourront par exemple pas enregistrer les réunions ou, du moins au début, se connecter avant l’hôte. Ces limitations sont néanmoins typiques des systèmes vidéo chiffrés de bout en bout.
Les ingénieurs du service de messagerie et de partage de fichiers Keybase sont à la tête du projet de chiffrement de Zoom. Zoom a racheté Keybase début mai, dans le cadre de ses efforts pour améliorer la sécurité et la confidentialité.
Zoom a publié une ébauche de son plan en quatre étapes sur GitHub le 22 mai. Zoom invite par ailleurs ses clients à mettre à jour leurs applications pour avoir accès à un protocole de chiffrement plus sûr appelé GCM.
Redorer son blason
Loïc RousseauZoom France
Zoom s’efforce de redorer sa réputation après une série d’articles en mars sur des failles et des faiblesses dans son produit. Un point que conteste d’ailleurs Loïc Rousseau de Zoom France. « J’insiste, nous n’avions pas de failles de sécurité ! […] Le CERT est d’ailleurs revenu vers nous pour faire un point plus poussé sur notre solution. Et nous nous en félicitons. », nous confiait-il.
Quoi qu’il en soit, de nombreuses critiques ont porté sur le fait que Zoom avait trop privilégié la facilité d’usage sur la sécurité. Et qu’il n’avait pas été assez transparent sur son chiffrement, sur les données qu’il conserve (ou pas) et sur l’usage qu’il en fait (partage avec des tiers, comme la justice américaine). Depuis, Zoom s’est lancé dans un projet de 90 jours pour refondre sa sécurité et ses outils et gérer celle-ci de manière plus instinctive. Le rachat de Keybase et ce nouveau plan en quatre étapes lui succèdent aujourd’hui.
« La critique était justifiée et nécessaire, car sans elle, ce genre de choses ne peuvent pas être réglées », estime Tatu Ylonen, fondateur de SSH Communications Security. « Mais je les applaudis pour avoir pris des mesures rapidement ».
Récemment, Zoom a pu fêter quelques revanches. L’éditeur a par exemple obtenu du district scolaire public de New York qu’il annule son bannissement (ce qui avait permis à Microsoft Teams de gagner le contrat), une interdiction qui avait fait la une des journaux en avril.