Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #21
    Chroniqueur Actualités

    Zoom prévoit d'offrir à tous ses utilisateurs E2EE, un chiffrement de bout en bout pour les appels vidéo
    Zoom prévoit d'offrir à tous ses utilisateurs gratuits et payants E2EE, un chiffrement de bout en bout pour les appels vidéo,
    une version d'essai commence en juillet

    Zoom prévoit d'offrir à tous ses utilisateurs gratuit et payant un chiffrement de bout en bout pour les appels vidéo. Le projet de conception d'E2EE, le chiffrement de bout en bout de Zoom en question, a été publié le 22 mai dernier. Zoom annonce avoir collaboré avec des organisations des libertés civiles, des groupes de défense de la sécurité des enfants, des experts en chiffrement, des représentants du gouvernement et ses propres utilisateurs pour mettre en oeuvre E2EE.

    Zoom annonce que la version bêta de la fonctionnalité E2EE commence en juillet 2020. Tous les utilisateurs de Zoom continueront d'utiliser le cryptage de transport AES 256 GCM comme cryptage par défaut, E2EE sera une fonctionnalité facultative car elle limite certaines fonctionnalités de réunion, telles que la possibilité d'inclure des lignes téléphoniques PSTN traditionnelles ou des systèmes de salle de conférence matérielle SIP / H.323. Les administrateurs de compte peuvent activer et désactiver E2EE au niveau du compte et du groupe.

    La société, dont l'activité a explosé avec les mesures de distanciation contre le covid-19, forçant davantage de personnes à travailler à domicile, s'est transformée en un lieu de rencontre vidéo mondial à partir d'un outil de téléconférence orienté entreprise. Cependant, elle a également été critiquée pour des problèmes de confidentialité et de sécurité, et a fait l'objet de critiques pour avoir omis de divulguer que son service n'était pas entièrement crypté de bout en bout.

    En effet, début avril, des chercheurs ont donné des détails sur deux bogues de sécurité découverts dans l'application Zoom. Le client Windows de Zoom perdait ses informations d'identification réseau, car l'application rendait les chemins d'accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom avait fini par admettre que l'E2EE n'était pas encore possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).


    Après une série de défaillances de sécurité, certaines institutions ont interdit l'utilisation de Zoom, la société basée en Californie a embauché en avril l'ancien directeur de la sécurité de Facebook Inc Alex Stamos et a déployé des mises à niveau majeures. Alex Stamos, ex-chef de la sécurité chez Facebook, avait publié plusieurs tweets, demandant notamment à Zoom d’être plus transparent et de lancer un plan de sécurité qui va durer 30 jours. Il a ensuite été contacté par Eric Yuan, le fondateur de Zoom, pour devenir consultant externe. « Je suis heureux de vous dire que je vais aider Zoom à mettre en place son programme de sécurité », a alors annoncé Stamos.

    Hier, dans un billet de blog, le PDG de Zoom, Eric S. Yuan,a annoncé que Zoom a publié E2EE sur GitHub. « Nous sommes également heureux de partager que nous avons identifié une voie à suivre qui équilibre le droit légitime de tous les utilisateurs à la confidentialité et à la sécurité des utilisateurs sur notre plateforme. Cela nous permettra d'offrir E2EE en tant que fonctionnalité complémentaire avancée pour tous nos utilisateurs du monde entier - gratuits et payants - tout en conservant la capacité de prévenir et de combattre les abus sur notre plateforme », a-t-il ajouté.

    Pour rendre cela possible, les utilisateurs Free / Basic cherchant à accéder à E2EE participeront à un processus unique qui invitera l'utilisateur à fournir des informations supplémentaires, telles que la vérification d'un numéro de téléphone via un message texte.

    Source : Zoom

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi

    Eric Yuan, le PDG et fondateur de Zoom, a gagné près de 4 milliards de dollars en l'espace de trois mois suite à l'explosion de l'utilisation de sa plateforme en pleine pandémie de coronavirus

    Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

    Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs, Zoom l'admet et s'explique

    Zoom met à jour son logiciel pour améliorer la protection par mots de passe des vidéoconférences et pour sécuriser les enregistrements sur le cloud
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #22
    Chroniqueur Actualités

    Zoom annonce qu'il va proposer le chiffrement de bout en bout sous forme de Technical Preview
    Zoom annonce qu'il va proposer le chiffrement de bout en bout sous forme de Technical Preview la semaine prochaine,
    pour les clients de la version gratuite et payante

    Zoom a été l’un des grands bénéficiaires de cette pandémie : le service de visioconférence a vu son pic d’utilisation exploser au point de franchir la barre des 300 millions journaliers d’utilisateurs. Le revers de la médaille a été une attention particulière portée à l’application, notamment par des experts en sécurité. C’est dans ce contexte que des bogues ont été découverts, mais aussi le fait que les réunions Zoom ne supportaient pas le chiffrement de bout en bout.

    Dans le livre blanc de Zoom, il existe une liste de « fonctionnalités de sécurité avant la réunion » disponibles pour l'hôte de la réunion qui commence par « Activer une réunion chiffrée de bout en bout (E2E) ». Plus loin dans le livre blanc, il est fait mention de « Sécuriser une réunion avec le chiffrement E2E » comme étant une « capacité de sécurité en réunion » disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre « Exiger le chiffrement pour les points de terminaison tiers » activé, les participants voient un cadenas vert qui dit, « Zoom utilise une connexion chiffrée de bout en bout » lorsqu'ils passent la souris dessus.

    Mais lorsque l’entreprise a été contactée pour savoir si les réunions vidéo sont réellement chiffrées de bout en bout, un porte-parole de Zoom a écrit : « Actuellement, il n'est pas possible d'activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée sur une connexion TLS ».

    Face à la réaction que cela a provoqué, l’entreprise a décidé de travailler sur ces points de sécurité. L’entreprise a d’abord rappelé que son offre était destinée principalement aux entreprises ; elle n’avait donc pas anticipé la popularité soudaine au sein des utilisateurs personnels.

    Elle a proposé dans un premier temps une mise à jour de son application, Zoom 5.0. Cette dernière version s’est accompagnée de mesures de sécurité améliorées qui comprennent un chiffrement plus puissant, des mots de passe par défaut et une nouvelle icône pour un accès facile aux importants paramètres de sécurité. Ce service faisait appel à la norme de chiffrement AES 256 bits GCM. Bien qu’il ne s'agissait toujours pas d'un chiffrement de bout en bout, il venait rendre les réunions beaucoup plus sûres.

    Puis Zoom a annoncé avoir fait l’acquisition de Keybase, dont l’équipe va apporter son expertise pour aider Zoom à construire un chiffrement de bout en bout pour ses vidéoconférences « qui pourront atteindre l'évolutivité actuelle de Zoom ».


    Le chiffrement de bout en bout est déployé progressivement

    Par le biais de Max Krohn, Head of Security Engineering chez Zoom, l'entreprise a annoncé déployer cette offre :

    « Nous sommes ravis d'annoncer qu'à partir de la semaine prochaine, l'offre de chiffrement de bout en bout (E2EE) de Zoom sera disponible sous forme de technical preview, ce qui signifie que nous sollicitons de manière proactive les commentaires des utilisateurs pendant les 30 premiers jours. Les utilisateurs de Zoom - gratuits et payants - du monde entier peuvent accueillir jusqu'à 200 participants à une réunion E2EE sur Zoom, offrant une confidentialité et une sécurité accrues pour vos sessions Zoom.

    « Nous avons annoncé en mai notre intention de créer une option de réunion chiffrée de bout en bout sur notre plateforme, en plus du chiffrement déjà puissant et des fonctionnalités de sécurité avancées de Zoom. Nous sommes heureux de déployer la première phase sur les quatre de notre offre E2EE, qui fournit des protections robustes pour aider à empêcher l'interception des clés de déchiffrement qui pourraient être utilisées pour surveiller le contenu des réunions. »

    Il a précisé que le chiffrement de bout en bout de Zoom « utilise le même chiffrement GCM puissant que vous obtenez actuellement dans une réunion Zoom. La seule différence réside dans l'emplacement de ces clés de chiffrement ».


    Dans les réunions classiques, le cloud de Zoom génère des clés de chiffrement et les distribue aux participants à la réunion à l'aide des applications Zoom lorsqu'ils se joignent. Avec l'E2EE de Zoom, l'hôte de la réunion génère des clés de chiffrement et utilise la cryptographie à clé publique pour distribuer ces clés aux autres participants à la réunion. Les serveurs de Zoom deviennent des relais inconscients et ne voient jamais les clés de chiffrement nécessaires pour déchiffrer le contenu de la réunion.

    « Le chiffrement de bout en bout est un autre pas en avant pour faire de Zoom la plateforme de communication la plus sécurisée au monde », a déclaré Eric S. Yuan, PDG de Zoom. « Cette phase de notre offre E2EE offre la même sécurité que les plateformes de messagerie chiffrées de bout en bout existantes, mais avec la qualité vidéo et l'évolutivité qui ont fait de Zoom la solution de communication de choix pour des centaines de millions de personnes et les plus grandes entreprises du monde. »

    Dans une foire à questions, l'éditeur a tenté d'apporter le plus d'éclaircissements possible aux utilisateurs. Par exemple :
    • Comment Zoom fournit-il un chiffrement de bout en bout ? L’offre E2EE de Zoom utilise la cryptographie à clé publique. En bref, les clés de chaque réunion Zoom sont générées par les machines des participants, et non par les serveurs de Zoom. Les données chiffrées relayées via les serveurs de Zoom sont indéchiffrables par Zoom, car les serveurs de Zoom ne disposent pas de la clé de déchiffrement nécessaire. Cette stratégie de gestion des clés est similaire à celle utilisée par la plupart des plateformes de messagerie chiffrées de bout en bout aujourd'hui.
    • Comment activer E2EE ? Les hôtes peuvent activer le paramètre E2EE au niveau du compte, du groupe et de l'utilisateur et peuvent être verrouillés au niveau du compte ou du groupe. Tous les participants doivent avoir le paramètre activé pour rejoindre une réunion E2EE. Dans la phase 1, tous les participants à la réunion doivent se joindre à partir du client de bureau Zoom, de l'application mobile ou des salons Zoom Room.
    • Ai-je accès à toutes les fonctionnalités d'une réunion Zoom régulière ? Pas tout de suite. L'activation de cette version d'E2EE de Zoom dans vos réunions désactive certaines fonctionnalités, notamment rejoindre la réunion avant l'hôte, l'enregistrement dans le cloud, le streaming, la transcription en direct, les Breakout Rooms, les sondages, le chat privé 1:1 et les réactions aux réunions.
    • Les utilisateurs gratuits de Zoom ont-ils accès au chiffrement de bout en bout ? Oui. Les comptes Zoom gratuits et payants qui se joignent à partir du client de bureau ou de l'application mobile de Zoom, ou d'une Zoom Room, peuvent héberger ou rejoindre une réunion E2EE.
    • En quoi est-ce différent du chiffrement GCM amélioré de Zoom ? Les réunions et webinaires Zoom utilisent par défaut le chiffrement GCM AES 256 bits pour le partage audio, vidéo et d'application (c'est-à-dire le partage d'écran, le tableau blanc) en transit entre les applications Zoom, les clients et les connecteurs. Dans une réunion sans E2EE activé, le contenu audio et vidéo circulant entre les applications Zoom des utilisateurs n'est pas déchiffré tant qu'il n'a pas atteint les appareils des destinataires. Cependant, les clés de chiffrement de chaque réunion sont générées et gérées par les serveurs de Zoom. Lors d'une réunion avec E2EE activé, personne, à l'exception de chaque participant, pas même les serveurs de Zoom, n'a accès aux clés de chiffrement utilisées pour chiffrer la réunion.
    • Comment vérifier que ma réunion utilise le chiffrement de bout en bout ? Les participants peuvent rechercher un logo de bouclier vert dans le coin supérieur gauche de leur écran de réunion avec un cadenas au milieu pour indiquer que leur réunion utilise E2EE. Il ressemble à notre symbole de chiffrement GCM, mais la coche est remplacée par un verrou.


      Les participants verront également le code de sécurité du responsable de la réunion qu’ils peuvent utiliser pour vérifier la connexion sécurisée. L'hôte peut lire ce code à haute voix et tous les participants peuvent vérifier que leurs clients affichent le même code.



    Source : Zoom

    Voir aussi :

    Zoom publie ses résultats trimestriels. Son chiffre d'affaires passe de 145 à 663 millions de dollars et le nombre d'entreprises de plus de 10 employés clientes de Zoom a été multiplié par cinq
    Microsoft et Zoom rejoignent le mouvement de suspension du traitement des demandes de données provenant de Hong Kong, comme l'ont fait d'autres entreprises technologiques
    Zoom cède à la censure en Chine, et travaille sur une nouvelle fonctionnalité, qui aidera Pékin à cibler les utilisateurs chinois
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

###raw>template_hook.ano_emploi###