Zoom : les conversations ne sont pas chiffrées de bout en bout
La solution de visioconférence qui se vante d'offrir un chiffrement des conversations n'utiliserai en réalité qu'un chiffrement TLS standard, alors que son utilisation a explosé depuis quelques semaines.
Afin de garder les entreprises en activités, de nombreux salariés sont en télétravail et optent pour des solutions de vidéoconférences telles que Zoom, qui permet également de tenir des webinaires. Réservée aux professionnels, elle a vu son audience exploser de 300% et a arraché la première place de l’App Store dans 35 pays. Épine dans le pied du développeur, une enquête de Vice révélait la semaine passée que l’application sur iOS envoie des données à Facebook même lorsque la personne connectée ne possède pas de compte sur le réseau social et alors que la politique de confidentialité n’en fait pas mention. Aussitôt dit, aussitôt fait, Zoom a supprimé le morceau de code responsable dans l’API Graph. Mais sa récente popularité incite à une inspection plus en profondeur de son fonctionnement interne, notamment le chiffrement des conversations qu’elle vante.
Un simple chiffrement TLS
Le très sérieux site d’enquête The Intercept révèle aujourd’hui que l’entreprise utilise sa propre définition du terme « chiffrement de bout en bout » et qui permet à l’entreprise d’accéder aux vidéos et flux audio des conversations. Zoom est pourtant spécifiquement populaire pour ses déclarations relatives au chiffrement, présentes à la fois sur son site et dans son livre blanc. Au lieu de chiffrement de bout en bout, le logiciel et l’application utilisent en réalité la sécurité de la couche de transport (TLS). Un porte-parole affirme au site que : « Actuellement, il n’est pas possible d’activer le chiffrement E2E (end-to-end, NDT) pour les réunions vidéo Zoom. Les réunions vidéo de zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont faites à l’aide de TLS et les connexions UDP sont chiffrées avec AES en utilisant une clé négociée sur une connexion TLS. »
Zoom peut accéder aux conversations
La différence clé d’avec le chiffrement TLS, qui est le même utilisé par les serveurs pour chiffrer une connexion entre un utilisateur et un nom de domaine en HTTPS, est que le service peut à tout moment accéder aux flux audio et vidéo. Ainsi, contrairement à Signal par exemple, qui ne possède pas les clés de déchiffrage des conversations, Zoom peut à tout moment inspecter des échanges et collabore au besoin avec les forces de l’ordre lorsque la loi les y oblige. Dans son droit de réponse, l’entreprise affirme prendre « très au sérieux la vie privée de ses utilisateurs » et ne collecter que des informations basiques telles que l’adresse IP et l’OS utilisée. Elle déclare également avoir mis en place des mesures de protection pour protéger la vie privée de ses utilisateurs, ce qui rend impossible pour toute personne, y compris les employés, d’accéder aux données que les utilisateurs partagent, audio comme vidéo.