Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Les communications de Zoom ne sont pas chiffrées de bout en bout

Les communications de Zoom ne sont pas chiffrées de bout en bout

Le 01 avril 2020 à 09h17

L’éditeur a beau annoncer l’inverse sur son site officiel, The Intercept a creusé et trouvé qu’il n’en était rien. « Lorsque nous utilisons l’expression de bout en bout […], c’est en référence à la connexion chiffrée d’une destination Zoom à une autre », a répondu l’entreprise à nos confrères.

En clair, Zoom se sert de TLS et profite du chiffrement de la connexion, pas de celle des données. Du moins pas de bout en bout. Traduction, les données sont parfaitement lisibles sur les serveurs, n’importe quel employé pouvant jeter un œil si le cœur lui en chante. Ce que personne n’a le droit de faire au sein de l’entreprise, affirme Zoom.

À la décharge de Zoom, le choix technique vient du fait qu’une majorité des calculs sont effectués par le serveur, expliquant la légèreté des clients. Par exemple, savoir à tout moment qui est en train de parler pour mettre l’accent sur son visage.

Mais ce qui est reproché à Zoom dans le cas présent, c’est bien sa communication. On ne peut pas affirmer que des transferts sont chiffrés de bout en bout quand ce n’est pas le cas.

Sale temps donc pour l'éditeur, qui a déjà dû s'expliquer sur la présence dans son application iOS d'un SDK Facebook particulièrement bavard (il a été rapidement supprimé). Parallèlement, MacG s'est penché sur la version macOS du client et a trouvé des méthodes d'installation bien peu reluisantes.

L'entreprise jouissait pourtant jusqu'à présent d'un formidable essor en ces temps de pandémie, lui permettant notamment de dépasser Teams de Microsoft en nombre d'utilisateurs. 

Le 01 avril 2020 à 09h17

Commentaires (13)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Zooooom …. Bouuuum

En tout cas comme souvent le diable est dans les détails et la NSA dans les serveurs :)

votre avatar



“le choix technique vient du fait qu’une majorité des calculs sont effectués par le serveur”



Il est parfaitement possible de manipuler des données chiffrées

C’était la thèse d’une amie en cryptographie



“Exemple : une donnée chiffrée de 1 plus une donnée chiffrée de 2 donne une donnée chiffrée de 3”

votre avatar

Ma boîte a remplacé Webex (Cisco) par ce truc. Etre au taquet niveau audits de sécurité, mais faire de la visio avec un logiciel non crypté… Okay.

votre avatar







Nanarovic a écrit :



“Exemple : une donnée chiffrée de 1 plus une donnée chiffrée de 2 donne une donnée chiffrée de 3”





<img data-src=" />



Sinon, je savais pas que zoom faisait de la comm sur le chiffrement. Je l’utilise pas mal en ce moment, et je partait du principe que c’était pas chiffré, “sinon j’en aurait surement entendu parler” (oui, c’est bancal comme raisonnement).



Mais effectivement, sur leur site, on trouve la mention « les communications sont établies à l’aide du chiffrement TLS de 256 bits

et tout le contenu partagé peut être chiffré à l’aide du chiffrement

AES-256 ».


votre avatar

Vu sur pressecitron, il y aurait aussi un autre dysfonctionnement, on pourrait voir pour ceux qui ne sont en aucun cas ses collègues,&nbsp; les adresses mails personnelle et photos sur l’application .

votre avatar

Ça me choque pas que la laison chiffrée prennent fin sur le reverse proxy de l’infrastructure interne de Zoom, et que les donnés transité en clair en interne.

Pleins de boîtes font ça.



Enfin si c’est bien de ça qu’on parle.

votre avatar







Nanarovic a écrit :



Il est parfaitement possible de manipuler des données chiffrées

C’était la thèse d’une amie en cryptographie



“Exemple : une donnée chiffrée de 1 plus une donnée chiffrée de 2 donne une donnée chiffrée de 3”



Ca limite quand-même, ou du moins complexifie fortement, les traitements que tu peux faire.







PierroZ a écrit :



Ça me choque pas que la laison chiffrée prennent fin sur le reverse proxy de l’infrastructure interne de Zoom, et que les donnés transité en clair en interne.

Pleins de boîtes font ça.



Enfin si c’est bien de ça qu’on parle.



Le problème n’est pas de faire ça, mais d’annoncer l’inverse. Pourtant je ne comprends pas ce qu’il y a de compliqué à comprendre dans l’expression “chiffrement de bout en bout” pour qu’autant de boîtes annoncent le faire alors que ce n’est pas vrai.


votre avatar

Toujours est-il que dans mon exemple la donnée est chiffrée lorsqu’elle circule sur Internet.

Je suis d’accord qu’il y a mensonge sur le fait d’affirmer de “bout en bout” puisque la donnée circule en clair dans l’Infra interne et est donc visible des employés

votre avatar
votre avatar



« Lorsque nous utilisons l’expression de bout en bout […], c’est en référence à la connexion chiffrée d’une destination Zoom à une autre »





Simple problème de traduction: en anglais “de bout-en-bout” veut dire “à la queue-leu-leu”.



(quoi, c’est pas crédible ?)

votre avatar

Parce que c’est pas de bout en bout justement…

De bout en bout, c’est de l’ordinateur de la personne qui envoie, jusqu’à l’ordinateur de la personne qui reçoit, rien d’autre !

votre avatar

Exact, là c’est juste de la sécurisation du canal de transport, comme TLS…

votre avatar

L’occasion de mettre un peu plus en avant Jitsi Meet : simple, libre, gratuit, entièrement chiffré et chacun peut installer sa propre instance ou utiliser une instance hébergée par un membre des C.H.A.T.O.N.S - y a une liste sur framatalk (ce dernier étant en phase de saturation actuellement)



Perso je l’utilise régulièrement et c’est vraiment un super outil de visioconférence.

Les communications de Zoom ne sont pas chiffrées de bout en bout

Fermer