Discussion :

[Stéphane le calme]

Zoom fait l'acquisition de Keybase pour apporter le chiffrement de bout en bout à son outil de vidéoconférence,
aux utilisateurs de la version payante

Zoom a fait l’acquisition de Keybase, un service qui apporte le chiffrement de bout en bout aux chats et aux échanges de fichiers en ligne. Une acquisition stratégique puisqu’elle vise à ajouter rapidement une équipe de développeurs axés sur la sécurité à Zoom, qui a été largement critiqué ces dernières semaines pour les lacunes dans la sécurité de son logiciel de vidéoconférence de plus en plus populaire. Le co-fondateur de Keybase, Max Krohn, va désormais diriger l'équipe d'ingénierie de sécurité de Zoom.

Le mois dernier, des chercheurs ont découvert que Zoom n’offrait pas réellement de chiffrement de bout en bout. D’après le site web de Zoom, son livre blanc et l’interface utilisateur de son application, tant que vous vous assurez que tout le monde dans une réunion Zoom se connecte en se servant de « l'audio de l'ordinateur » au lieu de procéder à un appel depuis un téléphone, la réunion est sécurisée avec un chiffrement de bout en bout. Mais malgré ce marketing trompeur, le service ne prend pas en charge le chiffrement de bout en bout pour le contenu vidéo et audio, du moins comme le terme est communément compris. Au lieu de cela, il offre ce qu'on appelle habituellement le chiffrement de transport.

Dans le livre blanc de Zoom, il existe une liste de « fonctionnalités de sécurité avant la réunion » disponibles pour l'hôte de la réunion qui commence par « Activer une réunion chiffrée de bout en bout (E2E) ». Plus loin dans le livre blanc, il est fait mention de « Sécuriser une réunion avec le chiffrement E2E » comme étant une « capacité de sécurité en réunion » disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre « Exiger le chiffrement pour les points de terminaison tiers » activé, les participants voient un cadenas vert qui dit, « Zoom utilise une connexion chiffrée de bout en bout » lorsqu'ils passent la souris dessus.

Bien que la récente version de Zoom 5.0 ait amélioré le chiffrement, ce n'était toujours pas le chiffrement sécurisé de bout en bout que tant d'utilisateurs ont demandé. Le problème avec la méthode de chiffrement actuelle est que, même si elle utilise le standard AES-GCM avec des clés de 256 bits, certaines clés de chiffrement sont stockées dans le cloud pour permettre l'interopérabilité avec d'autres systèmes.

C’est donc à ce niveau que l’équipe Keybase intervient puisqu’elle est censée aider Zoom à construire un chiffrement de bout en bout pour ses vidéoconférences « qui pourront atteindre l'évolutivité actuelle de Zoom».

La réaction de Keybase

Dans un billet de blog, Keybase a expliqué :

« À notre avis, Zoom doit une grande partie de son succès à sa flexibilité. Vous pouvez utiliser l'application Zoom sur à peu près n'importe quelle plateforme, mais vous pouvez également vous connecter via une ancienne ligne téléphonique en cuivre. Vous pouvez également utiliser leur site Web et, dans ce cas, vous pourriez être authentifié par mot de passe ou même être un invité. Tous ces cas fonctionnent et ils marchent bien. Ils doivent continuer de marcher.

« De plus, les appels Zoom peuvent éventuellement être enregistrés et distribués par l'hôte par la suite. C'est parfait pour les salles de classe et les mairies. Ces fonctionnalités sont essentielles pour connecter le monde dans une période aussi dangereuse.

« Comment tous ces aménagements s'inscrivent-ils dans l'histoire de la sécurité? C'est ce sur quoi nous sommes ravis de travailler.

« Au départ, notre priorité absolue est de contribuer à rendre Zoom encore plus sûr. Il n'y a pas encore de plans spécifiques pour l'application Keybase. En fin de compte, l'avenir de Keybase est entre les mains de Zoom, et nous verrons où cela nous mènera. Bien sûr, si quelque chose change concernant la disponibilité de Keybase, nos utilisateurs en seront informés.

« Notre directive à court terme consiste donc à améliorer considérablement notre efficacité en matière de sécurité, en travaillant sur un produit beaucoup plus gros que Keybase. Nous ne pouvons pas être plus précis que cela, car nous ne faisons que nous y embarquer ».

Le commentaire du PDG de Zoom

De son côté, Eric S Yuan a déclaré :

« Nous sommes fiers d'annoncer l'acquisition de Keybase, une autre étape importante du plan de 90 jours de Zoom pour renforcer encore la sécurité de notre plateforme de communication vidéo. Depuis son lancement en 2014, l'équipe d'ingénieurs exceptionnels de Keybase a développé un service de messagerie et de partage de fichiers sécurisé tirant parti de leur expertise approfondie en matière de chiffrement et de sécurité. Nous sommes ravis d’intégrer l’équipe de Keybase dans la famille Zoom pour nous aider à créer un chiffrement de bout en bout pouvant atteindre l’évolutivité actuelle de Zoom.

« Cette acquisition marque une étape clé pour Zoom alors que nous tentons de créer une plateforme de communications vidéo véritablement privée pouvant atteindre des centaines de millions de participants, tout en ayant la flexibilité nécessaire pour prendre en charge la grande variété d'utilisations de Zoom. Notre objectif est de fournir le plus de confidentialité possible pour chaque cas d'utilisation, tout en équilibrant les besoins de nos utilisateurs et notre engagement à prévenir les comportements nuisibles sur notre plateforme. L’équipe expérimentée de Keybase sera un élément essentiel de cette mission ».

Et d’ajouter plus loin que :

« Zoom offrira un mode de réunion chiffré de bout en bout à tous les comptes payants. Les utilisateurs connectés généreront des identités cryptographiques publiques qui sont stockées dans un référentiel sur le réseau de Zoom et peuvent être utilisées pour établir des relations de confiance entre les participants à la réunion. Une clé symétrique éphémère par réunion sera générée par l'hôte de la réunion. Cette clé sera distribuée entre les clients, enveloppée avec les paires de clés asymétriques et une rotation sera effectuée en cas de modifications importantes de la liste des participants. Les secrets cryptographiques seront sous le contrôle de l'hôte, et le logiciel client de l'hôte décidera quels appareils sont autorisés à recevoir les clés de la réunion, et ainsi rejoindre la réunion. Nous étudions également des mécanismes qui permettraient aux utilisateurs d'entreprise de fournir des niveaux d'authentification supplémentaires.

« Ces réunions chiffrées de bout en bout ne prendront pas en charge les ponts téléphoniques, l'enregistrement dans le cloud ou les systèmes de salle de conférence non Zoom. Les participants à Zoom Rooms et Zoom Phone pourront y assister s'ils sont explicitement autorisés par l'hôte. Les clés de chiffrement seront étroitement contrôlées par l'hôte, qui admettra les participants. Nous pensons que cela offrira une sécurité équivalente ou meilleure que les plateformes de messagerie chiffrées de bout en bout des consommateurs, mais avec la qualité et le niveau de vidéo qui ont fait de Zoom le choix de plus de 300 millions de participants aux réunions quotidiennes, y compris ceux de certains des plus grands du monde entreprises ».

La société n’a pas donné de calendrier sur la disponibilité effective du chiffrement de bout en bout.

Sources : Zoom, Keybase

Voir aussi :

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées
Zoom 5.0 est maintenant disponible avec des améliorations de sécurité : voici ce que vous devez savoir sur la dernière version de la plateforme de vidéoconférence

[Stéphane le calme]

Zoom prévoit de réserver le chiffrement de bout en bout à ses clients payants,
pour pouvoir collaborer avec le FBI au cas où ceux sur la version gratuite s'en servent « à de mauvaises fins »

Zoom a été l’un des grands bénéficiaires de cette pandémie : le service de visioconférence a vu son pic d’utilisation exploser au point de franchir la barre des 300 millions journaliers d’utilisateurs. Le revers de la médaille a été une attention particulière portée à l’application, notamment par des experts en sécurité. C’est dans ce contexte que des bogues ont été découverts, mais aussi le fait que les réunions Zoom ne supportaient pas le chiffrement de bout en bout.

Dans le livre blanc de Zoom, il existe une liste de « fonctionnalités de sécurité avant la réunion » disponibles pour l'hôte de la réunion qui commence par « Activer une réunion chiffrée de bout en bout (E2E) ». Plus loin dans le livre blanc, il est fait mention de « Sécuriser une réunion avec le chiffrement E2E » comme étant une « capacité de sécurité en réunion » disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre « Exiger le chiffrement pour les points de terminaison tiers » activé, les participants voient un cadenas vert qui dit, « Zoom utilise une connexion chiffrée de bout en bout » lorsqu'ils passent la souris dessus.

Mais lorsque l’entreprise a été contactée pour savoir si les réunions vidéo sont réellement chiffrées de bout en bout, un porte-parole de Zoom a écrit : « Actuellement, il n'est pas possible d'activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée sur une connexion TLS ».

Face à la réaction que cela a provoqué, l’entreprise a décidé de travailler sur ces points de sécurité. L’entreprise a d’abord rappelé que son offre était destinée principalement aux entreprises ; elle n’avait donc pas anticipé la popularité soudaine au sein des utilisateurs personnels.

Elle a proposé dans un premier temps une mise à jour de son application, Zoom 5.0. Cette dernière version s’est accompagnée de mesures de sécurité améliorées qui comprennent un chiffrement plus puissant, des mots de passe par défaut et une nouvelle icône pour un accès facile aux importants paramètres de sécurité. Ce service faisait appel à la norme de chiffrement AES 256 bits GCM. Bien qu’il ne s'agissait toujours pas d'un chiffrement de bout en bout, il venait rendre les réunions beaucoup plus sûres.

Puis Zoom a annoncé avoir fait l’acquisition de Keybase, dont l’équipe va apporter son expertise pour aider Zoom à construire un chiffrement de bout en bout pour ses vidéoconférences « qui pourront atteindre l'évolutivité actuelle de Zoom ».

Mais Eric S Yuan avait prévenu que cette technologie serait réservée aux clients payants : « Zoom offrira un mode de réunion chiffré de bout en bout à tous les comptes payants. Les utilisateurs connectés généreront des identités cryptographiques publiques qui sont stockées dans un référentiel sur le réseau de Zoom et peuvent être utilisées pour établir des relations de confiance entre les participants à la réunion. Une clé symétrique éphémère par réunion sera générée par l'hôte de la réunion. Cette clé sera distribuée entre les clients, enveloppée avec les paires de clés asymétriques et une rotation sera effectuée en cas de modifications importantes de la liste des participants. Les secrets cryptographiques seront sous le contrôle de l'hôte, et le logiciel client de l'hôte décidera quels appareils sont autorisés à recevoir les clés de la réunion, et ainsi rejoindre la réunion. Nous étudions également des mécanismes qui permettraient aux utilisateurs d'entreprise de fournir des niveaux d'authentification supplémentaires.

« Ces réunions chiffrées de bout en bout ne prendront pas en charge les ponts téléphoniques, l'enregistrement dans le cloud ou les systèmes de salle de conférence non Zoom. Les participants à Zoom Rooms et Zoom Phone pourront y assister s'ils sont explicitement autorisés par l'hôte. Les clés de chiffrement seront étroitement contrôlées par l'hôte, qui admettra les participants. Nous pensons que cela offrira une sécurité équivalente ou meilleure que les plateformes de messagerie chiffrées de bout en bout des consommateurs, mais avec la qualité et le niveau de vidéo qui ont fait de Zoom le choix de plus de 300 millions de participants aux réunions quotidiennes, y compris ceux de certains des plus grands du monde entreprises ».

Un chiffrement de bout en bout qui sera réservé aux clients payants

Si cette information n’avait pas retenu l’attention du public qui s’était plutôt concentré sur une disponibilité ultérieure du chiffrement de bout en bout, le PDG de Zoom est revenu à la charge lors d’un appel téléphonique avec les analystes pour indiquer que les utilisateurs de la version gratuite n’allaient pas en bénéficier :

« Bien sûr nous ne voulons pas donner accès [au chiffrement de bout en bout] aux utilisateurs gratuits parce que nous voulons également travailler avec le FBI, avec les forces de l'ordre locales au cas où certaines personnes utiliseraient Zoom à de mauvaises fins ».

Le fournisseur de vidéoconférence Zoom prévoit donc de renforcer le chiffrement des appels vidéo des clients payants et des institutions telles que les écoles, mais pas par les utilisateurs des versions gratuites de l’application, a déclaré un responsable de la société.

La société a discuté de cette décision avec des groupes de défenses des libertés civiles et des combattants des abus sexuels sur enfants jeudi, et le consultant en sécurité de Zoom, Alex Stamos, l'a confirmé vendredi. Dans une interview, Stamos a déclaré que le plan était susceptible de changer et qu'il n'était pas encore clair qui, le cas échéant, des organisations à but non lucratif ou d'autres utilisateurs, tels que les dissidents politiques, pourraient se qualifier pour disposer de comptes permettant d’avoir des réunions vidéo plus sécurisées. Il a ajouté qu'une combinaison de facteurs technologiques, de sécurité et commerciaux est entrée en considération, ce qui a suscité des réactions mitigées de la part des défenseurs de la vie privée.

Zoom a attiré des millions de clients gratuits et payants dans le contexte de la pandémie, en partie parce que les utilisateurs pouvaient rejoindre une réunion sans avoir à s'inscrire. Mais cela a permis aux fauteurs de troubles de se glisser dans les réunions, parfois après avoir prétendu être des invités.

Gennie Gebhart, chercheuse à l'Electronic Frontier Foundation qui a participé à l'appel de jeudi, a déclaré qu'elle espérait que Zoom changerait de cap et proposerait plus largement des vidéos protégées.

Mais Jon Callas, technologue de l'American Civil Liberties Union, a déclaré que la stratégie semblait être un compromis raisonnable. Les experts en sécurité et les forces de l'ordre ont averti que les prédateurs sexuels et autres criminels utilisent de plus en plus des communications chiffrées pour éviter d'être détectés.

« Ceux d'entre nous qui passons par des communications sécurisées sommes convaincus que nous devons réagir face aux choses vraiment horribles qui se passent », a déclaré Callas, qui vendait auparavant des services de chiffrement payants. « Faire payer de l'argent pour le chiffrement de bout en bout est un moyen de se débarrasser de la racaille », y compris les spammeurs et autres utilisateurs malveillants qui profitent de services gratuits.

Sources : Eric S Yuan, Reuters

Et vous ?

Que pensez-vous de cette décision de donner accès au chiffrement de bout en bout uniquement aux clients payants ?
Que pensez-vous des raisons évoquées pour le faire ?

Voir aussi :

Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré, et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur
Microsoft Teams fait un bond de 70 % pour atteindre 75 millions d'utilisateurs actifs quotidiens et contrairement à certaines estimations se rapproche plus vite de Zoom
Eric Yuan, le PDG et fondateur de Zoom, a gagné près de 4 milliards de dollars en l'espace de trois mois suite à l'explosion de l'utilisation de sa plateforme en pleine pandémie de coronavirus

[Pythalex]

Donc si j'ai bien compris : "On coopère avec le FBI pour ne pas aider les clients ayant des 'mauvaises fins', sauf s'ils nous payent ?"

[scandinave]

Je ne comprends pas ce monde ou une entreprise vend un soft close source, ment sur ce que fait réellement ce soft, promets d'améliorer cela une fois qu'elle s'est faite pincée et les utilisateurs continuent à utiliser leurs produits ...

Pour moi la confiance est fondamentale. Si une boite ou une personne vous la met à l'envers une fois rien ne l’emperchera de recommencer.

[sevyc64]

Donc si j'ai bien compris : "On coopère avec le FBI pour ne pas aider les clients ayant des 'mauvaises fins', sauf s'ils nous payent ?"

oui pour pouvoir les identifier plus facilement. Ceux qui payent, on sait qui c'est, ils payent.

Je ne comprends pas ce monde ou une entreprise vend un soft close source, ment sur ce que fait réellement ce soft, promets d'améliorer cela une fois qu'elle s'est faite pincée et les utilisateurs continuent à utiliser leurs produits ...

Pour moi la confiance est fondamentale. Si une boite ou une personne vous la met à l'envers une fois rien ne l’emperchera de recommencer.

Heuu, pour pouvoir recommencer, il faudrait d'abords qu'ils arrêtent

[xhe11662]

J'en peu plus de ses guignoles opportuniste

#jusquouirontils

[Cpt Anderson]

l'argumentaire bien foireux, comme on les aime !

[Citrax]

"Wire" est crytpé de bout en bout depuis longtemps.

Ok c'est pas prevu pour des visioconference a la base, mais si tout le monde avait sauté dessus ils auraient pu innover.