Zoom, le service de visioconférence dont l'utilisation a explosé au milieu de la pandémie de Covid-19, prétend implémenter un chiffrement de bout en bout, un protocole largement compris comme la forme de communication Internet la plus privée puisqu’il protège les conversations de toutes les parties extérieures. En fait, Zoom utilise sa propre définition du terme, celle qui permet à Zoom d'accéder à la vidéo et à l'audio non chiffrés à partir des réunions.Avec des millions de personnes dans le monde travaillant à domicile afin de ralentir la propagation du coronavirus, les affaires sont en plein essor pour Zoom, ce qui n’a pas manqué d’attirer l'attention sur l'entreprise et ses pratiques de confidentialité, y compris une politique, mise à jour plus tard, qui semblait donner à l'entreprise l'autorisation d'exploiter des messages et des fichiers partagés lors de réunions à des fins de ciblage publicitaire.
Pourtant, Zoom offre fiabilité, facilité d'utilisation et au moins une assurance de sécurité très importante : tant que vous vous assurez que tout le monde dans une réunion Zoom se connecte en se servant de « l'audio de l'ordinateur » au lieu de procéder à un appel depuis un téléphone, la réunion est sécurisée avec un chiffrement de bout en bout, du moins selon le site Web de Zoom, son livre blanc sur la sécurité et l'interface utilisateur de l'application. Mais malgré ce marketing trompeur, le service ne prend pas en charge le chiffrement de bout en bout pour le contenu vidéo et audio, du moins comme le terme est communément compris. Au lieu de cela, il offre ce qu'on appelle habituellement le chiffrement de transport.
Dans le livre blanc de Zoom, il existe une liste de « fonctionnalités de sécurité avant la réunion » disponibles pour l'hôte de la réunion qui commence par « Activer une réunion chiffrée de bout en bout (E2E) ». Plus loin dans le livre blanc, il est fait mention de « Sécuriser une réunion avec le chiffrement E2E » comme étant une « capacité de sécurité en réunion » disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre « Exiger le chiffrement pour les points de terminaison tiers » activé, les participants voient un cadenas vert qui dit, « Zoom utilise une connexion chiffrée de bout en bout » lorsqu'ils passent la souris dessus.
Un chiffrement de bout en bout, oui, mais pas au sens traditionnel
Mais lorsque l’entreprise a été contactée pour savoir si les réunions vidéo sont réellement chiffrées de bout en bout, un porte-parole de Zoom a écrit: « Actuellement, il n'est pas possible d'activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée sur une connexion TLS ».
Le chiffrement utilisé par Zoom pour protéger les réunions est TLS, la même technologie que les serveurs Web utilisent pour sécuriser les sites Web HTTPS. Cela signifie que la connexion entre l'application Zoom exécutée sur l'ordinateur ou le téléphone d'un utilisateur et le serveur Zoom est chiffrée de la même manière que la connexion entre votre navigateur Web et ce billet (sur https://www.developpez.com) est chiffrée. Il s'agit du chiffrement de transport, qui est différent du chiffrement de bout en bout, car le service Zoom lui-même peut accéder au contenu vidéo et audio non chiffré des réunions Zoom. Ainsi, lorsque vous avez une réunion Zoom, le contenu vidéo et audio restera privé pour toute personne espionnant votre Wi-Fi, mais il ne restera pas privé pour la société.
Pour qu'une réunion Zoom soit chiffrée de bout en bout, le contenu vidéo et audio devrait être chiffré de telle sorte que seuls les participants à la réunion aient la possibilité de la déchiffrer. Le service Zoom lui-même pourrait avoir accès au contenu de la réunion chiffré, mais n'aurait pas les clés de déchiffrement nécessaires pour le déchiffrer (seuls les participants à la réunion auraient ces clés) et, par conséquent, n'aurait pas la capacité technique d'écouter les réunions privées.
« Lorsque nous utilisons l'expression ‘de bout en bout’ dans nos autres publications, cela fait référence à la connexion chiffrée du point de terminaison Zoom au point de terminaison Zoom », a avancé un porte-parole de Zoom, faisant apparemment référence aux serveurs Zoom comme des « points de terminaison » même s'ils se trouvent entre les clients Zoom. « Le contenu n'est pas déchiffré tandis qu’il est transféré à travers le cloud Zoom » via la mise en réseau entre ces machines.
Seule la fonctionnalité de chat textuel en réunion semble bénéficier du chiffrement de bout en bout
Matthew Green, cryptographe et professeur d'informatique à l'Université Johns Hopkins, souligne que la vidéoconférence de groupe est difficile à chiffrer de bout en bout. En effet, le fournisseur de services doit détecter qui parle pour agir comme un standard téléphonique, ce qui lui permet d'envoyer uniquement un flux vidéo haute résolution de la personne qui parle en ce moment ou qu'un utilisateur sélectionne au reste du groupe, et d'envoyer des flux vidéo en basse résolution d'autres participants. Ce type d'optimisation est beaucoup plus facile si le fournisseur de services peut tout voir, car il n'est pas chiffré.
« Si tout est chiffré de bout en bout, vous devez ajouter des mécanismes supplémentaires pour vous assurer que vous pouvez faire ce type de commutateur ‘qui est en train de parler’, et vous pouvez le faire d'une manière qui ne laisse pas couler beaucoup d'informations . Vous devez pousser cette logique jusqu'aux points d'extrémité », a-t-il noté. Ce n'est pas impossible, cependant, a déclaré Green, comme le démontre FaceTime d'Apple, qui permet la vidéoconférence de groupe chiffrée de bout en bout. « C'est faisable, ce n’est simplement pas facile ».
« Ils sont un peu flous sur ce qui est chiffré de bout en bout », a déclaré Green à propos de Zoom. « Je pense qu'ils font cela d'une manière un peu malhonnête. Ce serait bien s'ils venaient à dire la vérité ».
La seule fonctionnalité de Zoom qui semble être chiffrée de bout en bout est le chat textuel en réunion. « Le chiffrement de chat Zoom E2E permet une communication sécurisée où seul le destinataire prévu peut lire le message sécurisé », indique le livre blanc. «Zoom utilise une clé publique et privée pour chiffrer la session de chat avec Advanced Encryption Standard (AES-256). Les clés de session sont générées avec un ID matériel unique pour éviter que les données ne soient lues sur d'autres appareils ». Un porte-parole de Zoom a expliqué que « Lorsque le chiffrement de bout en bout pour le chat est activé, les clés sont stockées sur les appareils locaux et Zoom n'a pas accès aux clés pour déchiffré les données ».
Aucun rapport de transparence
Sans chiffrement de bout en bout, Zoom a la capacité technique d'espionner les réunions vidéo privées et pourrait être contraint de remettre les enregistrements des réunions aux gouvernements ou aux forces de l'ordre en réponse à des demandes légales. Alors que d'autres sociétés comme Google, Facebook et Microsoft publient des rapports de transparence qui décrivent exactement le nombre de demandes de données d'utilisateurs reçues par les gouvernements de quels pays et le nombre de celles auxquelles ils se conforment, Zoom ne publie pas de rapport de transparence. Le 18 mars, le groupe de défense des droits de l’homme Access Now a publié une lettre ouverte appelant Zoom à publier un rapport de transparence pour aider les utilisateurs à comprendre ce que l'entreprise fait pour protéger leurs données.
« Les rapports de transparence sont l'un des moyens les plus efficaces pour les entreprises de divulguer les menaces à la vie privée et à la liberté d'expression des utilisateurs. Ils nous aident à comprendre les lois de surveillance dans différentes juridictions, fournissent des informations utiles sur les fermetures et les interruptions de réseau, et ils nous montrent quelles entreprises combattent les demandes incorrectes d'informations sur les utilisateurs », a déclaré Isedua Oribhabor, analyste des politiques américaines chez Access Now. L'indice de rapports de transparence d'Access Now montre une tendance à la baisse dans la consistance des rapports de transparence, ce qui, selon Oribhabor, supprime un outil essentiel pour les utilisateurs et la société civile pour tenir les gouvernements et les entreprises responsables.
Oribhabor a souligné que Zoom pourrait être contraint de remettre des données aux gouvernements qui souhaitent surveiller les réunions en ligne ou contrôler la diffusion d'informations lorsque les militants se tournent vers des manifestations en ligne. L'absence de rapport sur la transparence rend difficile la détermination de l'augmentation du nombre de demandes et la manière dont Zoom répondrait.
« Les entreprises ont la responsabilité d'être transparentes sur ce type de demandes, d'aider les utilisateurs et la société civile à voir où se produisent les abus du gouvernement et comment l'entreprise les combat », a déclaré Oribhabor.
Sources : Access Now (rapports de transparence), Access Now (lettre à Zoom), Zoom (papier blanc, site web), Harvard, Consumer Reports
Et vous ?
De quel outil vous servez-vous pour vos réunions en ligne ? Que pensez-vous de Zoom ? Que pensez-vous du fait que Zoom n'implémente pas actuellement le chiffrement de bout en bout ? 
Envoyé par Stéphane le calme
