Getty Images/iStockphoto
CMK : Zoom laisse ses clients utiliser leurs propres clés de chiffrement
Zoom a annoncé la disponibilité générale du service Customer managed Key. Les clients peuvent par ce moyen utiliser leurs propres clés de chiffrement pour protéger un certain nombre d’actifs résidant au repos sur les infrastructures cloud de Zoom.
En 2020, Max Krohn, fraîchement nommé responsable de l’ingénierie de cybersécurité chez Zoom, expliquait au MagIT que l’entreprise envisageait d’utiliser des HSM pour protéger les clés de chiffrement enrobant les archives audio, vidéo et textuelle des usagers.
Zoom avait préféré utiliser le service de chiffrement logiciel d’Amazon Web Services, AWS KMS, pour chiffrer les archives de ses clients. Puis, l’éditeur avait promis l’apport d’un mode Bring your Own Key (BYOK) en 2021.
Promesse tenue avec Customer Managed Key (CMK). Pour rappel, le spécialiste de la visioconférence avait annoncé le chiffrement de bout en bout pour Zoom Phone au cours de l’été 2022. Il poursuit là un engagement pris en 2020, après de nombreuses critiques concernant la sécurité de son logiciel.
Cette solution payante – dont la tarification n’a pas été révélée – permet aux entreprises qui y souscrivent de chiffrer et déchiffrer avec leurs propres clés sur l’infrastructure cloud de Zoom :
- les enregistrements dans le cloud de Zoom Meeting, dont les transcriptions et les textes du chat,
- les enregistrements dans le cloud de Zoom Webinar,
- les messages vocaux et enregistrements de Zoom Phone,
- les jetons d’accès au calendrier pour Zoom Rooms, ceux du calendrier utilisateur et ceux pour Microsoft Teams,
- et l’archivage des réunions et webinaires.
CMK, un outil lié à AWS KMS, « pour le moment »
L’outil permet de gérer de clés de chiffrement symétriques issues du logiciel de gestion de clés (Key Management System) AWS KMS, « pour le moment ». Pour lancer le service, il faut d’abord déployer une instance d’AWS KMS, puis créer une clé maîtresse multirégion, la déployer sur les régions cibles, puis configurer la gestion des clés dans le IAM d’AWS à travers un fichier JSON. Ensuite, il convient de synchroniser le compte AWS KMS avec le compte d’administration depuis le portail Web de Zoom via l’ARN (Amazon Resource Names, l’identifiant unique d’une ressource dans AWS) des clés (en commençant obligatoirement par la clé primaire).
Depuis le portail administrateur de Zoom, CMK permet de gérer les clés, d’obtenir leur statut, de recevoir des notifications en cas de problème, et de spécifier si ce sont les données de tous les utilisateurs ou de groupes spécifiques qui seront chiffrées. Les clients peuvent gérer différents types de clés, dont celles en provenance d’un HSM. En clair, les entreprises qui utilisent déjà la méthode BYOK vers AWS KMS peuvent apporter les clés importées depuis leur HSM dans Zoom CMK.
Les clients de Zoom qui n’auraient pas l’expertise pour gérer les clés de chiffrement peuvent faire appel à Zoom Global Services « pour les aider » à implémenter l’offre Customer Managed Key. À noter toutefois qu’il n’est possible de chiffrer que les nouvelles données au repos. Les archives résidant sur l’infrastructure cloud de Zoom avant le déploiement de CMK demeurent protégées par le KMS de l’éditeur. Par ailleurs, les administrateurs peuvent configurer Zoom Phone afin d’empêcher les appels si les clés de chiffrement ne sont pas disponibles.
Enfin, les utilisateurs peuvent toujours charger un enregistrement local vers le cloud de Zoom, mais les clés BYOK ne sont pas utilisables pour ces actifs, précise l’éditeur.
Une fonction BYOK que certains outils de collaboration offraient déjà
CMK est présentée comme une offre supplémentaire pour assurer « la confidentialité et la sécurité de Zoom » dans « l’environnement réglementaire complexe actuel (sic) ».
L’éditeur s’aligne ainsi sur Google Meet qui avait annoncé une solution similaire l’année dernière. De son côté, Slack propose depuis 2020 son service Enterprise Key Management, tandis que Microsoft propose – via ses services Azure Purview et Azure Key Vault – un chiffrement BYOK des données au repos enregistrées sur Onedrive Enterprise ou Sharepoint Online, les deux dépôts de données principaux pour Teams.
À la différence que Client-Side encryption de Google Cloud doit permettre de chiffrer également les conversations audio et vidéo en direct avec les clés de chiffrement des clients. Zoom n’a pas fait ce choix pour la simple et bonne raison que les appels sont déjà chiffrés par un échange de clés asymétriques entre les appareils des usagers et les serveurs.
Désormais, Zoom peut se concentrer sur la phase deux de son programme de sécurisation de son outil, en cours depuis l’année dernière.