L’éditeur a beau annoncer l’inverse sur son site officiel, The Intercept a creusé et trouvé qu’il n’en était rien. « Lorsque nous utilisons l’expression de bout en bout […], c’est en référence à la connexion chiffrée d’une destination Zoom à une autre », a répondu l’entreprise à nos confrères.
En clair, Zoom se sert de TLS et profite du chiffrement de la connexion, pas de celle des données. Du moins pas de bout en bout. Traduction, les données sont parfaitement lisibles sur les serveurs, n’importe quel employé pouvant jeter un œil si le cœur lui en chante. Ce que personne n’a le droit de faire au sein de l’entreprise, affirme Zoom.
À la décharge de Zoom, le choix technique vient du fait qu’une majorité des calculs sont effectués par le serveur, expliquant la légèreté des clients. Par exemple, savoir à tout moment qui est en train de parler pour mettre l’accent sur son visage.
Mais ce qui est reproché à Zoom dans le cas présent, c’est bien sa communication. On ne peut pas affirmer que des transferts sont chiffrés de bout en bout quand ce n’est pas le cas.
Sale temps donc pour l'éditeur, qui a déjà dû s'expliquer sur la présence dans son application iOS d'un SDK Facebook particulièrement bavard (il a été rapidement supprimé). Parallèlement, MacG s'est penché sur la version macOS du client et a trouvé des méthodes d'installation bien peu reluisantes.
L'entreprise jouissait pourtant jusqu'à présent d'un formidable essor en ces temps de pandémie, lui permettant notamment de dépasser Teams de Microsoft en nombre d'utilisateurs.
Commentaires (13)
#1
Zooooom …. Bouuuum
En tout cas comme souvent le diable est dans les détails et la NSA dans les serveurs :)
#2
“le choix technique vient du fait qu’une majorité des calculs sont effectués par le serveur”
Il est parfaitement possible de manipuler des données chiffrées
C’était la thèse d’une amie en cryptographie
“Exemple : une donnée chiffrée de 1 plus une donnée chiffrée de 2 donne une donnée chiffrée de 3”
#3
Ma boîte a remplacé Webex (Cisco) par ce truc. Etre au taquet niveau audits de sécurité, mais faire de la visio avec un logiciel non crypté… Okay.
#4
#5
Vu sur pressecitron, il y aurait aussi un autre dysfonctionnement, on pourrait voir pour ceux qui ne sont en aucun cas ses collègues, les adresses mails personnelle et photos sur l’application .
#6
Ça me choque pas que la laison chiffrée prennent fin sur le reverse proxy de l’infrastructure interne de Zoom, et que les donnés transité en clair en interne.
Pleins de boîtes font ça.
Enfin si c’est bien de ça qu’on parle.
#7
#8
Toujours est-il que dans mon exemple la donnée est chiffrée lorsqu’elle circule sur Internet.
Je suis d’accord qu’il y a mensonge sur le fait d’affirmer de “bout en bout” puisque la donnée circule en clair dans l’Infra interne et est donc visible des employés
#9
#10
« Lorsque nous utilisons l’expression de bout en bout […], c’est en référence à la connexion chiffrée d’une destination Zoom à une autre »
Simple problème de traduction: en anglais “de bout-en-bout” veut dire “à la queue-leu-leu”.
(quoi, c’est pas crédible ?)
#11
Parce que c’est pas de bout en bout justement…
De bout en bout, c’est de l’ordinateur de la personne qui envoie, jusqu’à l’ordinateur de la personne qui reçoit, rien d’autre !
#12
Exact, là c’est juste de la sécurisation du canal de transport, comme TLS…
#13
L’occasion de mettre un peu plus en avant Jitsi Meet : simple, libre, gratuit, entièrement chiffré et chacun peut installer sa propre instance ou utiliser une instance hébergée par un membre des C.H.A.T.O.N.S - y a une liste sur framatalk (ce dernier étant en phase de saturation actuellement)
Perso je l’utilise régulièrement et c’est vraiment un super outil de visioconférence.