Plus tôt ce mois-ci, la société avait déclaré qu’elle fournira cette fonctionnalité uniquement aux utilisateurs payants pour se conformer à l’application de la loi et attraper les agresseurs du service.
Après ses annonces, plusieurs experts en protection de la vie privée ont écrit à Zoom pour lui demander d’activer cette fonctionnalité pour tous les utilisateurs.
Ainsi, après avoir annoncé qu’il n’offrirait pas de chiffrement de bout en bout (E2EE) aux utilisateurs gratuits, Zoom a fait marche arrière et a déclaré que tout le monde utilisant son logiciel de visioconférence serait en mesure d’utiliser la protection AES 256 GCM.
La société a affirmé qu’elle essayait d’équilibrer la sécurité avec la capacité de tenir responsables ceux qui utilisent l’application à des fins néfastes. Zoom dit maintenant qu’il a « identifié une voie pour aller de l’avant » qui permettra d’atteindre cet objectif.
L’entreprise affirme avoir reçu les commentaires d’organisations de défense des libertés civiles, d’experts en sécurité et du gouvernement pour former sa nouvelle ligne de conduite. Zoom exigera que les utilisateurs gratuits subissent un processus de vérification unique pour activer le chiffrement.
« Tous les utilisateurs de Zoom continueront d’utiliser le chiffrement de transport GCM AES 256 comme valeur par défaut », indique l’entreprise, bien que la question de savoir si différents protocoles seront disponibles ou non n’est pas claire.
E2EE cause des problèmes avec certains matériels, tels que les téléphones de visioconférence PSTN ou SIP, de sorte que les utilisateurs seront en mesure de désactiver le chiffrement au besoin.
Hier, la fondation Mozilla, l’Electronic Frontier Foundation (EFF), 19.000 autres utilisateurs ont envoyé une lettre ouverte à l’entreprise, l’exhortant à ne pas faire de « la sécurité et la vie privée un luxe ».
Dans une autre lettre, des organisations de défense des droits numériques telles que Fight for the future et MPower Change ont fait part de préoccupations similaires.
Le PDG de Zoom, Eric Yuan, a déclaré que la société a consulté de nombreux experts en cryptage et représentants du gouvernement pour obtenir des commentaires sur cette fonctionnalité :
Zoom a déclaré que les utilisateurs gratuits devront se vérifier avec un numéro de téléphone dans un processus unique. Il a affirmé que cela empêchera les mauvais acteurs de créer plusieurs comptes abusifs.
Zoom publie également une conception mise à jour de sa solution de cryptage de bout en bout sur GitHub qui vise à atteindre un équilibre entre « le droit légitime de tous les utilisateurs à la vie privée et la sécurité des utilisateurs ».
Le chiffrement a certaines limites : s’il est activé, les participants avec des lignes téléphoniques PSTN traditionnelles ne peuvent pas participer.
Zoom prévoit de déployer une version bêta facile de la fonctionnalité de chiffrement de bout en bout en Juillet 2020.
Les tracas de la vérification semble être un petit prix à payer pour des conversations sécurisées.
Avec l’omniprésence retrouvée de Zoom, il peut être difficile de convaincre les autres d’utiliser différentes autres applications de visioconférence.
Après ses annonces, plusieurs experts en protection de la vie privée ont écrit à Zoom pour lui demander d’activer cette fonctionnalité pour tous les utilisateurs.
Ainsi, après avoir annoncé qu’il n’offrirait pas de chiffrement de bout en bout (E2EE) aux utilisateurs gratuits, Zoom a fait marche arrière et a déclaré que tout le monde utilisant son logiciel de visioconférence serait en mesure d’utiliser la protection AES 256 GCM.
La société a affirmé qu’elle essayait d’équilibrer la sécurité avec la capacité de tenir responsables ceux qui utilisent l’application à des fins néfastes. Zoom dit maintenant qu’il a « identifié une voie pour aller de l’avant » qui permettra d’atteindre cet objectif.
L’entreprise affirme avoir reçu les commentaires d’organisations de défense des libertés civiles, d’experts en sécurité et du gouvernement pour former sa nouvelle ligne de conduite. Zoom exigera que les utilisateurs gratuits subissent un processus de vérification unique pour activer le chiffrement.
« Tous les utilisateurs de Zoom continueront d’utiliser le chiffrement de transport GCM AES 256 comme valeur par défaut », indique l’entreprise, bien que la question de savoir si différents protocoles seront disponibles ou non n’est pas claire.
E2EE cause des problèmes avec certains matériels, tels que les téléphones de visioconférence PSTN ou SIP, de sorte que les utilisateurs seront en mesure de désactiver le chiffrement au besoin.
End-to-end encryption update from Zoom - we have found a path forward to provide this feature to all users (free and paid) around the globe >> https://t.co/rjwCLYKDuJ° <<
— Zoom (@zoom_us) June 17, 2020
Mise à jour du chiffrement de bout en bout de Zoom - nous avons trouvé une voie à suivre pour fournir cette fonctionnalité à tous les utilisateurs (gratuits et payants) à travers le monde.
Hier, la fondation Mozilla, l’Electronic Frontier Foundation (EFF), 19.000 autres utilisateurs ont envoyé une lettre ouverte à l’entreprise, l’exhortant à ne pas faire de « la sécurité et la vie privée un luxe ».
Dans une autre lettre, des organisations de défense des droits numériques telles que Fight for the future et MPower Change ont fait part de préoccupations similaires.
Le PDG de Zoom, Eric Yuan, a déclaré que la société a consulté de nombreux experts en cryptage et représentants du gouvernement pour obtenir des commentaires sur cette fonctionnalité :
Depuis la publication du projet de conception du chiffrement de bout en bout de Zoom (E2EE) le 22 mai, nous nous sommes engagés avec les organisations de défense des libertés civiles, notre conseil de CISO, les défenseurs de la sécurité des enfants, les experts en cryptage, les représentants du gouvernement, nos propres utilisateurs et d’autres personnes pour recueillir leurs commentaires sur cette fonctionnalité.
Nous avons également exploré de nouvelles technologies pour nous permettre d’offrir E2EE à tous les niveaux d’utilisateurs.
Zoom a déclaré que les utilisateurs gratuits devront se vérifier avec un numéro de téléphone dans un processus unique. Il a affirmé que cela empêchera les mauvais acteurs de créer plusieurs comptes abusifs.
Zoom publie également une conception mise à jour de sa solution de cryptage de bout en bout sur GitHub qui vise à atteindre un équilibre entre « le droit légitime de tous les utilisateurs à la vie privée et la sécurité des utilisateurs ».
Le chiffrement a certaines limites : s’il est activé, les participants avec des lignes téléphoniques PSTN traditionnelles ne peuvent pas participer.
L’entreprise a déclaré qu’il s’agira d’une fonctionnalité facultative, de sorte que l’hôte devra activer ou désactiver manuellement le chiffrement.
Zoom prévoit de déployer une version bêta facile de la fonctionnalité de chiffrement de bout en bout en Juillet 2020.
Les tracas de la vérification semble être un petit prix à payer pour des conversations sécurisées.
Avec l’omniprésence retrouvée de Zoom, il peut être difficile de convaincre les autres d’utiliser différentes autres applications de visioconférence.
Ceci étant dit, tout ce parcours a été un peu un casse-tête. Au moins tous les utilisateurs peuvent maintenant utiliser le chiffrement de bout en bout - quelque chose qui aurait sans doute dû faire partie du logiciel de Zoom en premier lieu.
Source : Engadget
Source : Engadget
