Zoom n'offrira un chiffrement de bout en bout qu'aux utilisateurs payants
Lorsque vous participez à une vidéoconférence Zoom, vos données ne sont pas chiffrées de bout en bout (e2e). Bien que Zoom crypte les appels, il le fait en utilisant la même technologie que votre navigateur, et l'entreprise peut décrypter votre appel à volonté. Zoom avait précédemment promis de passer au cryptage e2e, mais la société affirme maintenant qu'elle ne le fera que pour les utilisateurs payants.
La différence entre le cryptage e2e et le cryptage actuel de Zoom est assez flagrante. Avec le cryptage e2e, la société qui facilite l'appel n'a pas accès à vos données. Au lieu de cela, cette protection s'exécute d'un utilisateur à l'autre. Mais l'utilisation du cryptage TLS par Zoom est similaire à ce que vous obtenez avec un site protégé comme Gmail ou Twitter, et la société a un accès complet à vos données.
Lorsque l'Intercept l'a signalé pour la première fois, les nouvelles se sont répandues comme une traînée de poudre, et Zoom promet rapidement de passer au cryptage e2e. Mais maintenant, lors d'un appel au bénéfice, le PDG de Zoom, Eric Yuan a déclaré aux analystes que seuls les utilisateurs rémunérés bénéficieraient de cette protection. Tel que rapporté par Nico Grant, reporter technologique de Bloomberg dans un tweet, le PDG a déclaré:
Les utilisateurs gratuits sont sûrs que nous ne voulons pas donner cela parce que nous voulons également travailler avec le FBI, avec les forces de l'ordre locales au cas où certaines personnes utiliseraient Zoom à de mauvaises fins.
L'implication est que les mauvais acteurs pourraient utiliser Zoom à des fins terribles ou illégales, et en ne chiffrant pas les utilisateurs gratuits, Zoom peut s'associer avec le FBI pour les retrouver. Cependant, Yuan n'a pas abordé le fait que rien n'empêche ces mauvais acteurs de simplement payer pour le service et d'accéder au cryptage e2e.
Alex Stamos, un consultant en sécurité pour Zoom, a tenté de clarifier les positions de l'entreprise dans un fil Twitter, ainsi qu'une défense pour l'utilisation par l'entreprise du cryptage AES pour les utilisateurs gratuits.
Tous les utilisateurs (gratuits et payants) voient leur contenu de réunion chiffré à l'aide d'une clé AES256 par réunion. Le contenu est chiffré par le client d'envoi et déchiffré par les clients de réception ou par les serveurs de connecteurs de Zoom pour se connecter au réseau PSTN et à d'autres services.
– Alex Stamos (@alexstamos) 3 juin 2020
Mais il n'a pas fallu longtemps aux chercheurs en sécurité pour entrer en vigueur contre le raisonnement de Stamos, et c'est compréhensible, car Stamos n'a pas répondu à plusieurs préoccupations concernant le choix de Zoom.
Stamos répond aux personnes dénonçant le manque de chiffrement e2e de Zoom pour le niveau gratuit en appelant leurs prises "trompeuses", insistant sur le fait que le chiffrement AES, qui peut être contourné par Zoom Inc. à volonté, est considéré comme un véritable chiffrement. Ce qui, bien sûr, est vraiment trompeur. pic.twitter.com/WH67gKwAit
– Nadim Kobeissi (@kaepora) 3 juin 2020
En comparaison, Facebook protège son programme Messenger avec le cryptage e2e tout en incorporant toujours un mécanisme intégré de signalement des abus. De ce fait, il semble que Zoom pourrait faire plus pour protéger ses utilisateurs gratuits tout en empêchant son logiciel de chat vidéo d'être utilisé à des fins malveillantes.
via TechCrunch