Zoom commence à déployer le chiffrement de bout en bout

Benoit Grunemwald, Expert en Cyber sécurité, ESET France

La plateforme de vidéoconférence met cette fonctionnalité à la disposition des utilisateurs des niveaux gratuits et payants.

La plateforme de vidéoconférence Zoom a annoncé qu’à partir de la semaine prochaine, elle commencera à mettre en place le chiffrement de bout en bout (E2EE) tant attendu par les utilisateurs. Cette fonction sera présentée en avant-première technique, la société sollicitant de manière proactive les réactions de sa base d’utilisateurs au cours des 30 premiers jours suivant le lancement.

« Nous sommes heureux de lancer la phase 1 de 4 de notre offre E2EE, qui offre des protections solides pour aider à prévenir l’interception des clés de déchiffrement qui pourraient être utilisées pour surveiller le contenu des réunions », déclare société avec l’annonce de la nouvelle fonctionnalité. « Cette phase de notre offre E2EE offre la même sécurité que les plates-formes de messagerie chiffrée de bout en bout existantes, mais avec la qualité et l’échelle vidéo qui ont fait de Zoom la solution de communication de choix pour des centaines de millions de personnes et les plus grandes entreprises du monde », explique Eric S. Yuan, PDG de Zoom.

Zoom a fait part pour la première fois de son projet de lancer un chiffrement de bout en bout en mai, mais la nouvelle a suscité des réactions mitigées en raison de l’annonce de cette fonction réservée aux clients payants. La société a modifié sa décision en juin et a déclaré qu’elle allait proposer cette fonction à tous les utilisateurs.

La nouvelle fonction E2EE est basée sur le même chiffrement Galois/Counter Mode (GCM) que Zoom utilise déjà pour chiffrer toutes ses réunions, la principale différence résidant dans la manière dont les clés de chiffrement sont distribuées et stockées. « Dans les réunions typiques, le cloud de Zoom génère des clés de chiffrement et les distribue aux participants à la réunion en utilisant les applications Zoom au fur et à mesure qu’ils se joignent à la réunion. Avec E2EE de Zoom, l’hôte de la réunion génère des clés de chiffrement et utilise la cryptographie à clé publique pour distribuer ces clés aux autres participants à la réunion. Les serveurs de Zoom deviennent des relais inconscients et ne voient jamais les clés de chiffrement nécessaires pour déchiffrer le contenu de la réunion », explique l’entreprise.

La fonction E2EE peut être activée dans tous les services de vidéoconférence de Zoom – c’est-à-dire son client de bureau, ses applications mobiles ou sa salle Zoom – et peut accueillir jusqu’à 200 participants aux réunions E2EE. Toutefois, Zoom avertit qu’une fois E2EE activé, l’utilisation d’autres fonctionnalités sera limitée, notamment l’inscription avant l’accueil, l’enregistrement en cloud, la diffusion en continu, la transcription en direct, les salles de réunion, les sondages, le chat privé 1 : 1 et les réactions aux réunions.

Pour commencer à utiliser le chiffrement E2E, les utilisateurs devront l’activer dans les paramètres de leur compte, puis l’activer sur une base de réunion à réunion – ce qui signifie que tous les participants devront avoir le paramètre activé s’ils veulent se joindre à une réunion E2EE. Les utilisateurs non payants qui souhaitent avoir accès au chiffrement E2E devront passer par un processus de vérification unique qui les obligera à fournir des informations supplémentaires telles que leur numéro de téléphone.

Un logo composé d’un bouclier vert avec un cadenas apparaîtra dans le coin supérieur gauche du client pour avertir les utilisateurs que la fonction a été activée. En outre, pour confirmer la sécurité de la connexion, le code de l’hôte sera affiché dans les clients des participants ; l’hôte pourra alors le lire à voix haute et les plateformes de réunion pourront vérifier si les codes correspondent.

La plateforme prévoit également de lancer une meilleure gestion d’identité et une intégration de l’authentification unique E2EE au cours de la phase 2 de son offre E2EE, la date de lancement étant provisoirement fixée à 2021.

Il s’agit de la toute dernière fonctionnalité de sécurité et de confidentialité qui sera lancée dans le cadre des efforts de Zoom pour atténuer les inquiétudes après que ses lacunes en matière de sécurité et de confidentialité aient été mises en lumière, alors que la plateforme est devenue célèbre, en grande partie à cause du récent passage au travail à distance. Le mois dernier, l’entreprise a mis en place une prise en charge de l’authentification à deux facteurs pour ses applications web, bureautiques et mobiles.

Exit mobile version