Pendant la pr\u00e9sentation de Zoom lors de la RSA Conference 2021, la discussion s\u2019est focalis\u00e9e sur le chiffrement de bout en bout de Zoom Cloud Meetings. L\u2019entreprise a expliqu\u00e9 pourquoi c\u2019est si important pour les d\u00e9veloppeurs de se pencher sur ce sujet, comment ils pr\u00e9voient de rendre les appels plus s\u00e9curis\u00e9s et quelles sont les nouvelles fonctionnalit\u00e9s li\u00e9es \u00e0 la s\u00e9curit\u00e9 auxquelles les utilisateurs doivent s\u2019attendre.<\/p>\n
La pand\u00e9mie a oblig\u00e9 bon nombre d\u2019entre nous \u00e0 passer au t\u00e9l\u00e9travail \u00e0 long terme et par cons\u00e9quent \u00e0 utiliser des logiciels de visioconf\u00e9rence afin de communiquer avec nos coll\u00e8gues ou avec nos proches. La popularit\u00e9 de Zoom a attir\u00e9 l\u2019attention des experts en s\u00e9curit\u00e9 mais aussi des cybercriminels, ce qui a permis \u00e0 de nombreuses personnes de trouver bon nombre de d\u00e9fauts en ce qui concerne la s\u00e9curit\u00e9 de la plateforme. Par exemple, il a \u00e9t\u00e9 prouv\u00e9 que le logiciel contenait des vuln\u00e9rabilit\u00e9s qui ont permis aux cybercriminels d\u2019espionner les utilisateurs via leur cam\u00e9ra et leur microphone<\/a>, et les intrusions effectu\u00e9es par les trolls ont m\u00eame leur propre nom\u00a0: le Zoombombing<\/a>. La r\u00e9ponse de Zoom a \u00e9t\u00e9 rapide et de grande port\u00e9e, mais le probl\u00e8me n\u2019\u00e9tait pas enti\u00e8rement r\u00e9gl\u00e9.<\/p>\n L\u2019un des reproches principal que l\u2019on pourrait faire \u00e0 propos de Zoom, c\u2019est que la plateforme utilisait<\/a> un chiffrement point \u00e0 point (P2PE) et non un chiffrement de bout en bout (E2EE).<\/p>\n \u00c0 premi\u00e8re vue, les deux syst\u00e8mes peuvent sembler similaires car tous deux chiffrent les donn\u00e9es que les utilisateurs \u00e9changent. Mais avec le chiffrement P2PE, le serveur peut avoir acc\u00e8s aux messages des utilisateurs alors que le chiffrement E2EE chiffre les informations sur le dispositif de l\u2019exp\u00e9diteur et les d\u00e9chiffre uniquement sur celui du destinataire. Cependant, cela peut \u00e9galement cr\u00e9er des probl\u00e8mes, et c\u2019est sur ces derniers que les d\u00e9veloppeurs de Zoom se sont centr\u00e9s lors de la conf\u00e9rence\u00a0:<\/p>\n Personne ne veut que leurs conversations priv\u00e9es avec la famille ou des amis et surtout les conversations secr\u00e8tes d\u2019affaires soient rendues publiques. De plus, si un pirate informatique devait utiliser les cl\u00e9s vol\u00e9es pour espionner passivement les utilisateurs, ce serait tr\u00e8s difficile \u00e0 d\u00e9tecter.<\/p>\n Avec le chiffrement E2EE, vous n\u2019avez pas ce probl\u00e8me<\/a> car ce proc\u00e9d\u00e9 stocke les cl\u00e9s uniquement sur le dispositif de l\u2019utilisateur. Cela signifie que si quelqu\u2019un pirate le serveur, l\u2019intrus ne pourrait pas \u00e9couter clandestinement les visioconf\u00e9rences.<\/p>\n Naturellement, de nombreux utilisateurs attendaient depuis longtemps que Zoom passe au chiffrement E2EE qui avait d\u00e9j\u00e0 \u00e9t\u00e9 adopt\u00e9 par de nombreuses applications de messagerie<\/a>.<\/p>\n\n Les d\u00e9veloppeurs ont \u00e9cout\u00e9 les critiques et ont pris des mesures afin d\u2019am\u00e9liorer la s\u00e9curit\u00e9 de la plateforme<\/a> en int\u00e9grant m\u00eame le chiffrement E2EE.<\/p>\n Zoom utilise le chiffrement de bout en bout pour les appels audio et vid\u00e9o ainsi que les discussions depuis l\u2019automne 2020. Lorsqu\u2019il est activ\u00e9, les donn\u00e9es des participants sont prot\u00e9g\u00e9es gr\u00e2ce \u00e0 la fameuse cl\u00e9 de chiffrement. Cette derni\u00e8re n\u2019est pas stock\u00e9e sur les serveurs de Zoom, ce qui fait que m\u00eame les d\u00e9veloppeurs ne peuvent pas d\u00e9chiffrer le contenu des conversations. Tout ce que la plateforme stocke en d\u00e9chiffr\u00e9 ce sont les noms d\u2019utilisateurs et certaines m\u00e9tadonn\u00e9es telles que la dur\u00e9e des appels.<\/p>\n Afin de bloquer les connexions externes, les d\u00e9veloppeurs ont \u00e9galement incorpor\u00e9 la fonction Heartbeat, un signal que cette c\u00e9l\u00e8bre application de messagerie envoie automatiquement aux utilisateurs. Ce dernier contient entre autres une liste des participants auxquels l\u2019organisateur de la r\u00e9union a envoy\u00e9 la cl\u00e9 de chiffrement actuelle. Si une personne non pr\u00e9sente dans la liste rejoint la r\u00e9union, chaque participant saura imm\u00e9diatement qu\u2019il y a quelque chose qui cloche.<\/p>\n De plus, en verrouillant la r\u00e9union (gr\u00e2ce \u00e0 la fonctionnalit\u00e9 Verrouiller la r\u00e9union) une fois que tous les participants invit\u00e9s sont pr\u00e9sents, vous pouvez \u00e9galement emp\u00eacher tout nouveau participant de la rejoindre. Vous devez le faire manuellement, mais une fois que cette fonctionnalit\u00e9 est activ\u00e9e, personne d\u2019autre ne peut rejoindre la r\u00e9union, m\u00eame s\u2019ils poss\u00e8dent l\u2019ID et le mot de passe de celle-ci.<\/p>\n Zoom prot\u00e8ge \u00e9galement contre les attaques dites de l\u2019homme du milieu (man-in-the-middle attacks<\/a>) gr\u00e2ce au chiffrement par substitution. Pour s\u2019assurer que personne n\u2019est en train d\u2019espionner, l\u2019organisateur de la r\u00e9union peut \u00e0 tout moment g\u00e9n\u00e9rer un code de s\u00e9curit\u00e9 bas\u00e9 sur la cl\u00e9 de chiffrement de la r\u00e9union actuelle en cliquant sur un bouton. Il s\u2019agit d\u2019un code qui est \u00e9galement g\u00e9n\u00e9r\u00e9 automatiquement pour les autres participants de la r\u00e9union. L\u2019organisateur doit lire ce dernier \u00e0 voix haute, et si les autres ont le m\u00eame, alors cela signifie qu\u2019ils utilisent la m\u00eame cl\u00e9 et qu\u2019il n\u2019y a pas \u00e0 s\u2019en faire.<\/p>\n Pour finir, si l\u2019organisateur de la r\u00e9union la quitte et que quelqu\u2019un d\u2019autre le remplace, l\u2019application signale ce changement. Si certains participants ont des doutes, ils peuvent interrompre n\u2019importe quelle discussion top-secr\u00e8te afin de r\u00e9gler le probl\u00e8me.<\/p>\n Bien entendu, si vous faites juste une r\u00e9union normale entre amis, vous n\u2019avez probablement pas besoin d\u2019activer tous ces param\u00e8tres de s\u00e9curit\u00e9. Mais lorsqu\u2019il est question de secrets d\u2019entreprise (ou autres), ces fonctionnalit\u00e9s peuvent s\u2019av\u00e9rer grandement utiles. Par cons\u00e9quent, les intervenants qui participent \u00e0 ces r\u00e9unions importantes doivent les conna\u00eetre et savoir comment s\u2019en servir.<\/p>\n Malgr\u00e9 les nombreux progr\u00e8s, les d\u00e9veloppeurs de Zoom sont conscients qu\u2019il leur reste encore du travail. Lors de la RSA Conference 2021, ils ont \u00e9galement mis l\u2019accent sur l\u2019\u00e9volution de la plateforme.<\/p>\n Les d\u00e9veloppeurs de la plateforme ont identifi\u00e9 un certain nombre de menaces pour lesquelles ils doivent encore mettre en place des contre-mesures efficaces. D\u2019une part, il y a le probl\u00e8me des intrusions dans les r\u00e9unions par des personnes se faisant passer pour des utilisateurs invit\u00e9s. D\u2019autre part, le chiffrement E2EE n\u2019emp\u00eache pas les cybercriminels d\u2019\u00eatre en possession de certaines m\u00e9tadonn\u00e9es telles que la dur\u00e9e de l\u2019appel, le nom des participants et les adresses IP. Les vuln\u00e9rabilit\u00e9s dans le programme pr\u00e9sentent \u00e9galement des risques : les cybercriminels peuvent ajouter un code malveillant.<\/p>\n En tenant compte de ces menaces, les d\u00e9veloppeurs de Zoom ont fait une liste de leurs objectifs<\/a>\u00a0:<\/p>\n Pour atteindre ces objectifs, les d\u00e9veloppeurs ont con\u00e7u un plan en quatre \u00e9tapes.<\/p>\n La premi\u00e8re \u00e9tape<\/strong> a d\u00e9j\u00e0 \u00e9t\u00e9 mise en place. En effet, comme mentionn\u00e9 ci-dessus, ils ont apport\u00e9 des modifications au syst\u00e8me pour faire en sorte que la cl\u00e9 de chiffrement ne soit stock\u00e9e que sur le dispositif de l\u2019utilisateur. Ils ont \u00e9galement am\u00e9lior\u00e9 les m\u00e9thodes de protection contre les intrus qui rejoignent les r\u00e9unions.<\/p>\n Pour la deuxi\u00e8me \u00e9tape<\/strong>, ils pr\u00e9voient d\u2019utiliser une m\u00e9thode d\u2019authentification utilisateur qui ne d\u00e9pend pas des serveurs de Zoom mais qui sera bas\u00e9e sur l\u2019authentification unique (single sign-on, SSO<\/a>) impliquant des fournisseurs d\u2019identit\u00e9 ind\u00e9pendants (IDPs).<\/p>\n Par cons\u00e9quent, un intrus potentiel ne peut pas se faire passer pour un utilisateur, m\u00eame en prenant le contr\u00f4le des serveurs de la plateforme. Si une personne rejoint une r\u00e9union en pr\u00e9tendant \u00eatre un invit\u00e9 mais avec une nouvelle cl\u00e9 publique, les autres participants seront alert\u00e9s de la menace potentielle.<\/p>\n La troisi\u00e8me \u00e9tape <\/strong>introduira le concept d\u2019arbre binaire <\/em>qui permettra de stocker toutes les identit\u00e9s au sein d\u2019une structure de donn\u00e9es authentifi\u00e9es et v\u00e9rifiables afin de s\u2019assurer que tous les utilisateurs ont une vue coh\u00e9rente sur n\u2019importe quelle identit\u00e9 et qu\u2019ils puissent d\u00e9tecter les attaques par usurpation d\u2019identit\u00e9. Ici, l\u2019objectif de Zoom est de renforcer la protection de la plateforme des attaques dites de l\u2019homme du milieu (man-in-the-middle<\/a>).<\/p>\n Pour la quatri\u00e8me et derni\u00e8re \u00e9tape<\/strong>, les d\u00e9veloppeurs pr\u00e9voient de faciliter le processus de v\u00e9rification d\u2019une identit\u00e9 lorsqu\u2019un utilisateur se connecte depuis un nouvel appareil. Pour associer un nouveau dispositif, l\u2019utilisateur devra confirmer sa l\u00e9gitimit\u00e9 en scannant par exemple le code QR qui sera affich\u00e9 sur l\u2019\u00e9cran d\u2019un t\u00e9l\u00e9phone ou d\u2019un ordinateur de confiance. Ainsi, un cybercriminel ne pourra pas associer un appareil \u00e0 un compte qui ne lui appartient pas.<\/p>\n Lorsqu\u2019on met en place des m\u00e9canismes de s\u00e9curit\u00e9 suppl\u00e9mentaires, il faut \u00e9valuer l\u2019impact qu\u2019ils auront sur les utilisateurs ordinaires, ce que les d\u00e9veloppeurs de Zoom prennent en compte. Par exemple, l\u2019une des innovations propos\u00e9es consiste \u00e0 utiliser le Cloud des dispositifs personnels des utilisateurs. Cela permettra d\u2019associer un compte \u00e0 de nouveaux appareils plus facilement tout en garantissant sa protection.<\/p>\n Par exemple, si vous utilisez habituellement Zoom sur votre ordinateur pour passer des appels mais qu\u2019ensuite vous vous y connectez \u00e0 partir de votre t\u00e9l\u00e9phone, la prochaine fois que vous ouvrirez Zoom sur votre ordinateur, ce dernier vous notifiera de la connexion \u00e0 partir de ce nouvel appareil. Si vous approuvez cette connexion, les deux dispositifs seront associ\u00e9s au m\u00eame Cloud et les autres participants sauront qu\u2019il s\u2019agit de vous et non d\u2019un intrus.<\/p>\nE2EE vs. P2PE<\/h3>\n
\n
Le chiffrement de bout en bout sur Zoom \u00e0 l\u2019heure actuelle<\/h2>\n
Ce que le future r\u00e9serve \u00e0 Zoom<\/h2>\n
\n
Plan d\u2019action<\/h3>\n
Une s\u00e9curit\u00e9 sans sacrifice<\/h3>\n