Zoom Video Communications a vu l’utilisation de son service de vidéoconférence augmenter en raison du coronavirus, mais un nouveau rapport de The Intercept a fait la lumière sur le fait que son affirmation selon laquelle ses réunions Zoom sont chiffrées de bout en bout n’est pas vraie.
Sur son site Web et dans un livre blanc sur la sécurité, la société américaine de vidéoconférence se vante d’un chiffrement de bout en bout. Cependant, The Intercept a découvert que le service utilise en fait un chiffrement de transport à la place.
Le chiffrement de transport est un protocole de sécurité de la couche transport (TLS) qui sécurise la connexion entre un utilisateur et le serveur auquel il est connecté. Le TLS est également utilisé pour aider à sécuriser les connexions entre les utilisateurs et tout site Web qu’ils visitent avec le protocole HTTPS.
Toutefois, la principale différence entre le chiffrement de transport et le chiffrement de bout en bout est que si d’autres personnes ne peuvent pas accéder à vos données, Zoom pourra toujours le faire. Dans une déclaration à The Intercept, un porte-parole de Zoom a révélé que le service est incapable de fournir un chiffrement de bout en bout pour le moment, en mentionnant : « Actuellement, il n’est pas possible d’activer le chiffrement E2E pour les réunions vidéo de Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et d’UDP. Les connexions TCP sont effectuées à l’aide de TLS et les connexions UDP sont chiffrées avec le protocole AES à l’aide d’une clé négociée sur une connexion TLS ».
En gros, la société a précisé que l’expression « de bout en bout » utilisée dans son livre blanc fait référence à la connexion chiffrée entre les points d’extrémité Zoom (c-à-d le serveur Zoom). Cela signifie que d’autres personnes ne peuvent pas accéder aux données partagées pendant les appels vidéo de Zoom, mais que l’entreprise elle-même le peut toujours.
Zoom a également déclaré à The Intercept qu’elle ne collecte que les données utilisateur dont elle a besoin pour améliorer son service, comme les adresses IP, les détails du système d’exploitation et les détails de l’appareil, et ne permet pas aux employés d’accéder au contenu spécifique des réunions. Elle a également déclaré qu’il ne vendait aucune sorte de données utilisateur. Cependant, il est possible que la société soit contrainte de remettre les enregistrements des réunions pour les procédures judiciaires.
De réels problèmes de confidentialité
Malgré sa récente montée en popularité, un certain nombre de problèmes de confidentialité ont été mis en lumière autour de ce service, comme la façon dont son application iOS a été trouvée en train d’envoyer des données à Facebook sans le consentement explicite de l’utilisateur. Heureusement, Zoom a récemment supprimé le code qui envoyait des données au réseau social. En outre, un nouveau rapport de Bleeping Computer a révélé qu’il est possible pour les hackers de voler des mots de passe par le biais du client Windows de Zoom.
Le navigateur Tor axé sur la confidentialité a suggéré que vous devriez abandonner Zoom et utiliser une solution open source appelée Jitsi Meet :
If you want an alternative to Zoom: try Jitsi Meet. It’s encrypted, open source, and you don’t need an account. https://t.co/ydA10G0hfZ
—The Tor Project (@torproject) March 31, 2020
Évidemment, la balle est dans le camp de l’application de vidéoconférence pour réparer sa réputation et mettre en œuvre des pratiques de confidentialité solides et transparentes< . Sinon, les gens se tourneront bientôt vers des alternatives librement disponibles et plus sûres.