Mi-avril, l’application de vidéoconférence était littéralement ensevelie sous les très nombreux problèmes de sécurité et de vie privée. L’éditeur avait alors annoncé une période de trois mois pour se recentrer sur ces thématiques et colmater ses brèches.
Un mois et demi plus tard, de nouvelles versions ont corrigé le tir sur de nombreux points. L’un des plus notables est le passage d’AES-256 ECB à AES-256 GCM (beaucoup plus robuste). Gros point noir également réglé, un lot de fonctions par défaut permettant trop facilement de s’insérer dans les réunions et d’y mettre le bazar.
Restait le cas du chiffrement de bout en bout. Alex Stamos, ancien directeur de la sécurité chez Facebook et embauché comme consultant par Zoom, fait le point chez Reuters.
Le chiffrement de bout en bout sera bel et bien déployé, mais uniquement accessible aux clients payants et institutions. Pourquoi ? Principalement parce que l’utilisation gratuite doit pouvoir être « surveillée ». Comprendre y détecter des comportements abusifs par analyse des signaux.
Le chiffrement de bout en bout revient pour rappel à transformer l’éditeur concerné en fournisseur de tuyauterie : il ne peut pas voir ce qui transite, les données étant chiffrées avant de quitter l’appareil.
Stamos précise que les plans dans ce domaine peuvent encore évoluer, mais quelques précisions sont données. Par exemple, le chiffrement de bout en bout ne sera pas disponible pour les utilisateurs rejoignant une conférence depuis un téléphone. En outre, les organismes à but non lucratif devraient pouvoir en profiter, mais les conditions restent à définir.
En clair, il s’agit d’une couche supplémentaire de sécurité pour utilisateurs spécifiques, et non d’un fonctionnement global de type Signal. Pour le rachat de Keybase le 7 mai dernier, Zoom s’était montré clair, l’éditeur insistant sur le cas de clients « priorisant la vie privée sur la compatibilité ».
Commentaires (7)
#1
“parce que l’utilisation gratuite doit pouvoir être « surveillée ».”
Mais lol.
Qu’ils veuillent garder une fonction utile pour leurs clients payants, c’est un leur modèle économique et c’est tout à fait respectable, mais qu’ils se justifient comme ci-dessus, c’est clairement incroyable. Comme si les utilisateurs gratuits étaient tous des terroristes potentiels et que ceux qui ont du fric pour payer étaient tous clean. Remarquez, c’est finalement assez proche du reste du monde moderne : si tu as du fric, tu as des droits, autrement non.
#2
Désormais ceux qui l’utiliseront en version gratuite seront au courant.
Ou pas.
#3
En lisant la dépêche Reuters, je le comprends plus comme le besoin de pouvoir connecter l’équipe de sécurité Zoom sur l’appel en cas de signalement, afin de détecter spam, usage malveillant (bombing mais aussi arnaques type faux support) ou usage illégal. Pas sûr que ce type d’attaque soit majoritairement le fait d’usagers payants, par contre les usagers payants ont plus d’appétence sur la sécurité (au sens où suffisamment ne choisiront la solution que si elle supporte le chiffrement de bout-en-bout).
La plupart des autres solutions avec chiffrement se basent sur le numéro de téléphone/un réseau social (plus facile de bloquer les abuseurs) ou alors assument de ne rien surveiller ou presque.
#4
Donc la fonction qui n’existait pas au départ (bien que Zoom annonçait le contraire) est désormais accessible mais uniquement aux comptes payants car il faut “surveiller les comptes gratuits”.
" />
Si avec ça vous n’avez pas confiance
#5
Je suis d’accord.
Si on ne veut pas payer, on peut utiliser la partie gratuite.
Si on veut la partie payante, on paye.
C’est correct je trouve comme offre.
Y a pas d’arnarque, ce n’est pas une question d’etre riche ou pauvre.
14€ pour un mois d’utilisation du mode Pro compatible sur tous les devices, ce n’est pas ce que j’appelle discriminatoire ou raciste envers les pauvres. Le chiffrement a certainement un coût non négligeable pour l’éditeur. S’ils devaient faire tout gratos, bah il ne reste plus qu’à mettre la clé sous la porte….
#6
Et la montagne accouche d’une souris.
#7
14€/mois juste pour de la visioconférence c’est cher surtout que les alternatives ne manquent pas