Zoom continue de prendre en compte les critiques. Le 2 juin, l’entreprise avait annoncé le déploiement attendu du chiffrement de bout en bout — un des plus hauts standards de sécurité des communications — sur ses vidéos. Seulement, le service de visioconférence prévoyait de le réserver à ses utilisateurs payants. Le CEO Eric Yuan avait justifié cette décision en expliquant que le groupe « veut travailler avec le FBI et avec les forces de l’ordre locales au cas où des personnes utilisent Zoom à mauvais escient. »
Cette déclaration a provoqué une levée de boucliers menée par de nombreux utilisateurs, des chercheurs en cybersécurité ou encore des défenseurs de la vie privée. Résultat, Zoom a rétropédalé deux semaines plus tard, le 17 juin. Dans un billet de blog, il annonce l’ouverture du chiffrement de bout en bout (E2EE) à tous les utilisateurs. Il sera testé de manière optionnelle en bêta « à partir du mois de juillet. »
Le chiffrement de bout en bout développé en moins de trois mois
Sévèrement critiqué sur ses techniques de chiffrement de ses conversations par un laboratoire de référence en avril, Zoom a rapidement réagi. L’entreprise a d’abord adopté un algorithme plus sécurisé pour le chiffrement routinier des vidéos. Puis elle s’est attaquée au développement du chiffrement de bout en bout en rachetant la startup Keybase pour piloter le projet. Ce standard de sécurité permet — en principe — d’éliminer une des vulnérabilités de la chaîne de communication.
Dans le fonctionnement normal du service de visioconférence, la conversation sera chiffrée, et donc illisible, si une personne l’intercepte grâce à un accès au wifi ou au réseau de télécommunication.
Avec l’E2EE, plus besoin de faire autant confiance à Zoom
En revanche, il existe un serveur central (contrôlé par défaut par Zoom), qui va s’occuper de déchiffrer et chiffrer à nouveau les flux vidéos. Sur ce nœud central, le flux vidéo est potentiellement lisible, dans le cas où un employé malveillant s’y intéresserait ou si un hacker parvenait à compromettre l’accès au serveur. L’E2EE va ajouter une couche de chiffrement supplémentaire qui rendra la conversation illisible tout du long, et seuls les participants auront accès à la clé de déchiffrement.
Les développeurs de l’entreprise ont publié un livre blanc sur GitHub (une plateforme de dépôt de code) pour expliquer comment ils comptaient s’y prendre pour mettre l’E2EE en place. La fonctionnalité n’est pas si évidente à déployer, comme nous vous l’expliquions il y a quelque temps, et chaque service peut avoir une méthode différente. En publiant le code, Zoom permet également à des développeurs extérieurs de relever des failles dans leur protocole.
Pour activer l’option, il faudra donner plus d’informations
Le chiffrement de bout en bout sera accessible à tous, mais il ne sera pas coché par défaut. Zoom rappelle dans son communiqué qu’il limite certaines fonctionnalités, comme la participation à la réunion depuis une ligne téléphonique (sans internet).
Pour l’activer, les utilisateurs de comptes gratuits devront donner des informations additionnelles, dont le détail n’est pas encore indiqué. La plateforme vérifiera notamment leur numéro de téléphone (via l’envoi d’un SMS), a précisé Eric Yuan. Les hôtes des réunions pourront ensuite décider d’activer ou non l’E2EE.
Zoom compte s’appuyer sur ce niveau d’authentification supplémentaire et sur son nouvel outil de signalement pour empêcher les utilisateurs malveillants de perturber les conversations. L’entreprise n’a pas plus commenté au sujet de la collaboration avec les forces de l’ordre, qui avait justifié la restriction de l’option aux utilisateurs payants.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !