Après l’avalanche de problèmes de sécurité que Zoom a dû affronter, l’entreprise reprend du poil de la bête, après avoir pris manifestement la mesure du problème. Plusieurs mises à jour ont déjà réglé de nombreux soucis, mais il restait à proposer un chiffrement de bout en bout, comme promis.
Il arrivera la semaine prochaine, en préversion d’abord, pour une période d’environ un mois. Il faudra alors se rendre dans les options du compte pour l’activer. Le chiffrement utilisé est le même qu’habituellement (AES 256 bits GCM), à ceci près que les utilisateurs auront maintenant une clé privée, que les serveurs de Zoom ne connaitront pas.
Conséquence, et comme on pouvait s’y attendre, le chiffrement de bout en bout bloque de fait de nombreuses fonctions de Zoom, le service n’étant plus en mesure d’analyser le flux vidéo.
En mode chiffré, il n’y aura donc plus de sous-titres en direct, de streaming, de salles de petits groupes, de sondages, de discussions en tête à tête, d’enregistrement de la session dans le cloud ou encore de réactions. Il s’agira uniquement d’une vidéoconférence avec discussion commune, sans fioritures.
Une fois la phase de test terminée, tous les utilisateurs pourront activer le chiffrement E2E, gratuits comme payants.
Commentaires (6)
#1
Parce que depuis avril 2020 ce n’est toujours pas corrigé ?
#2
Le client n’étant toujours pas open source, pour donner plus de crédit à Zoom qu’à What’s App?
#2.1
Sans compter que Zoom a menti sur la présence de chiffrement (bien qu’inexistant au départ).
Maintenant ce sera du chiffrement “faitesnousconfiane”.
Reste à faire confiance à des menteurs multirécidivistes…
#3
Je comprends bien que le chiffrement de bout en bout empêche les serveurs Zoom de traiter de façon “active” les flux des utilisateurs donc empêche effectivement le sous-titrage en direct ou les sondages mais pourquoi “les salles de petits groupes et les discussions en tête à tête” ?
#4
Je ne comprends pas trop comment ça peut fonctionner, la conso de bande passante et CPU risque d’exploser si c’est réellement du chiffrement de bout en bout !
Avant tu envoyais une fois le flux de ta caméra, et le serveur se chargeait de faire suivre aux nombreux connectés, maintenant il faudra uploader 1 flux (différent) par personne connectée à la réunion !
En tête à tête ça ne change rien, dans les autres cas la conso en upload va être multipliée par le nombre de connectés à la session.
Concrètement la caméra ne fonctionnera plus en ADSL, et sera très limité en nombre de connectés même en fibre. (si ce n’est pas le débit en upload c’est le CPU qui risque de freiner ! )
Après j’ai peut-être raté un détail technique, peut-être qu’un seul flux chiffré avec une “masterkey” commune est envoyée et que seul le partage de cette masterkey est sécurisé de bout en bout. Mais là on ne peut pas dire que ce soit franchement sécurisé sans accès au code source rien ne dit que clé n’est pas partagée avec d’autres tiers.
#5
Les détails sont donnés ici :
Donc c’est le principe de chiffrement de bitlocker : il y’a une master key pour la réunion est seul l’échange de cette master key est “sécurisé” par un chiffrement bout-en-bout. Comme l’appli n’est pas open-source, il est impossible de savoir s’il n’y’a as une porte dérobée permettant au serveur Zoom de se connecter à la réunion sans apparaître comme connecté dans l’applicatif ! Il n’y’a donc aucune avancée en matière de sécurité !