Jeudi dernier, Zoom a annoncé sa dernière étape : enfin la mise en œuvre du type de protocoles de cryptage qu’il a conduit les investisseurs et les utilisateurs à croire qu’il avait déjà pris en charge.
Avec l’acquisition de Keybase, une start-up new-yorkaise spécialisée dans la messagerie cryptée et les services cloud, Zoom pourra enfin tenir ses prétentions d’offrir un chiffrement de bout en bout :
Le PDG Eric Yuan a déclaré dans un blog :
Comme indiqué par Intercept en Mars, les experts en sécurité ont constaté que le système de cryptage maison de la plate-forme n’a pas été en deçà de ce qu’il a été commercialisé comme l’étant, et au lieu de le qualifier comme un cryptage de la couche de transport, cela a tout de même permis aux serveurs de Zoom de voir certains contenus de l’extrémité du client.
Avec un véritable cryptage de bout en bout, de la même manière que des applications comme WhatsApp et Signal, seules les personnes qui communiquent les unes avec les autres peuvent voir ce contenu, et il reste inaccessible à n’importe quelle entreprise derrière le serveur intermédiaire qu’ils utilisent.
Les actionnaires de Zoom ont depuis poursuivi la société sur des allégations de fraude concernant cet écart.
Ces news sont livrées avec beaucoup de stipulations, cependant. Une fois en place, le chiffrement de bout en bout ne sera disponible que pour les utilisateurs avec des plans Zoom payants (qui commencent à 14,99 $ par mois), ce qui signifie que toute personne utilisant le service gratuit de Zoom n’y aura pas accès.
Si l’hôte d’une réunion a activé cette fonctionnalité, les participants ne pourront pas se joindre par téléphone et l’enregistrement dans le cloud sera désactivé.
Dans le billet de blog de jeudi, Yuan a souligné que la fonctionnalité ne stockera pas la clé de chiffrement sur les serveurs de Zoom, de sorte que la société ne sera pas en mesure de voir une partie de l’appel.
Zoom avait également annoncé son intention de publier un «projet détaillé de conception cryptographique» le 22 Mai 2020 alors qu’il continue de déployer son plan de “sécurité en 90 jours”.
Avis important de Zoom à ses utilisateurs :
Le chiffrement vous permet de sécuriser la communication de façon à ce que seul le destinataire final puisse lire le message chiffré. Zoom utilise des algorithmes symétriques et asymétriques pour chiffrer la session de chat.
In our commitment to remaining transparent and open as we build our end-to-end encryption offering, we have published our cryptographic design for peer review on @GitHub [Blog Post] https://t.co/InyJ8DmorQ
— Zoom (@zoom_us) May 22, 2020
Dans notre engagement à rester transparent et ouvert pendant que nous construisons notre offre de chiffrement de bout en bout, nous avons publié notre conception cryptographique pour l’examen par les pairs sur @GitHub.
Avec l’acquisition de Keybase, une start-up new-yorkaise spécialisée dans la messagerie cryptée et les services cloud, Zoom pourra enfin tenir ses prétentions d’offrir un chiffrement de bout en bout :
Le PDG Eric Yuan a déclaré dans un blog :
Nous sommes ravis d’intégrer l’équipe de Keybase dans la famille Zoom pour nous aider à construire le cryptage de bout en bout qui peut atteindre l’évolutivité actuelle de Zoom.
Comme indiqué par Intercept en Mars, les experts en sécurité ont constaté que le système de cryptage maison de la plate-forme n’a pas été en deçà de ce qu’il a été commercialisé comme l’étant, et au lieu de le qualifier comme un cryptage de la couche de transport, cela a tout de même permis aux serveurs de Zoom de voir certains contenus de l’extrémité du client.
Avec un véritable cryptage de bout en bout, de la même manière que des applications comme WhatsApp et Signal, seules les personnes qui communiquent les unes avec les autres peuvent voir ce contenu, et il reste inaccessible à n’importe quelle entreprise derrière le serveur intermédiaire qu’ils utilisent.
Les actionnaires de Zoom ont depuis poursuivi la société sur des allégations de fraude concernant cet écart.
Ces news sont livrées avec beaucoup de stipulations, cependant. Une fois en place, le chiffrement de bout en bout ne sera disponible que pour les utilisateurs avec des plans Zoom payants (qui commencent à 14,99 $ par mois), ce qui signifie que toute personne utilisant le service gratuit de Zoom n’y aura pas accès.
Si l’hôte d’une réunion a activé cette fonctionnalité, les participants ne pourront pas se joindre par téléphone et l’enregistrement dans le cloud sera désactivé.
Dans le billet de blog de jeudi, Yuan a souligné que la fonctionnalité ne stockera pas la clé de chiffrement sur les serveurs de Zoom, de sorte que la société ne sera pas en mesure de voir une partie de l’appel.
Nous pensons que cela assurera une sécurité équivalente ou meilleure que les plates-formes de messagerie cryptée existantes, mais avec la qualité et l’échelle vidéo qui ont fait de Zoom le choix de plus de 300 millions de participants à la réunion quotidienne, y compris ceux de certaines des plus grandes entreprises du monde.
Zoom avait également annoncé son intention de publier un «projet détaillé de conception cryptographique» le 22 Mai 2020 alors qu’il continue de déployer son plan de “sécurité en 90 jours”.
Avis important de Zoom à ses utilisateurs :
Veuillez commencer à mettre à jour tous vos clients vers Zoom 5.0.
Après le 30 mai 2020, tous les clients de Zoom sur les anciennes versions recevront une mise à niveau forcée lorsqu’ils tenteront de participer aux réunions car le chiffrement GCM sera entièrement activé sur la plate-forme Zoom.Cliquez ici pour plus d’informations sur les modifications et comment mettre à jour votre application Zoom ou télécharger dès maintenant.
Have you downloaded Zoom 5.0 yet? Not sure how? See these 3 easy ways to upgrade to the latest Zoom client https://t.co/wdqaLcvYvT
— Zoom (@zoom_us) April 29, 2020
Avez-vous déjà téléchargé Zoom 5.0 ? Vous ne savez pas comment faire? Voir ces 3 façons faciles de mettre à niveau vers le dernier client Zoom.
Protéger vos données
Le chiffrement vous permet de sécuriser la communication de façon à ce que seul le destinataire final puisse lire le message chiffré. Zoom utilise des algorithmes symétriques et asymétriques pour chiffrer la session de chat.
Des clés de session sont générées grâce à un ID de matériel unique à l'appareil afin que les données ne puissent être lues à partir d'autres appareils. Cela vous permet de garantir que la session ne peut être illicitement écoutée ou trafiquée.
Zoom vous offre une panoplie de méthodes d'authentification comme SAML, OAuth, et/ou basées sur le mot de passe qui peuvent être activées/désactivées individuellement pour un compte en question.
Zoom travaille avec Microsoft Active Directory ainsi que d'autres plateformes de gestion de l'identité de la part de sociétés de renommé comme Centrify, Fugen, Gluu, Okta, OneLogin, PingOne, Shibboleth, Symplified, et plusieurs autres.
- Les enregistrements peuvent être stockés sur l'appareil local de l'animateur qui dispose de l'option d'enregistrement local ou bien sur le cloud de Zoom grâce à l'option d'enregistrement sur le cloud (disponible pour les clients payants).
- Les enregistrements stockés localement sur l'appareil de l'animateur peuvent être chiffrés à l'aide de plusieurs outils gratuits et disponibles sur le marché, le cas échéant.
- Les enregistrements sur le cloud sont traités et stockés sur le cloud de Zoom suivant la fin de la réunion ; ces enregistrements peuvent être protégés par un mot de passe ou disponibles uniquement pour les employés de votre organisation.
- Ces enregistrements sont stockés en format vidéo/audio et en format audio uniquement.
- Si un animateur de réunion active l'enregistrement sur le cloud et la transcription sonore, les deux options seront alors chiffrées. Si un animateur de réunion active le transfert de fichiers via une discussion en réunion, ces fichiers partagés seront alors chiffrés.
- L'animateur de réunion peut gérer les enregistrements via une interface Web sécurisée.
- Les enregistrements peuvent être téléchargés, partagés ou supprimés.
Méthodes d'authentification
Zoom vous offre une panoplie de méthodes d'authentification comme SAML, OAuth, et/ou basées sur le mot de passe qui peuvent être activées/désactivées individuellement pour un compte en question.
Zoom travaille avec Microsoft Active Directory ainsi que d'autres plateformes de gestion de l'identité de la part de sociétés de renommé comme Centrify, Fugen, Gluu, Okta, OneLogin, PingOne, Shibboleth, Symplified, et plusieurs autres.
Zoom peut mapper les attributs afin d'affecter un utilisateur à un autre groupe grâce aux commandes de la fonctionnalité.
Source : Gizmodo
Source : Gizmodo
