Zoom : le service de vidéoconférence ultra-populaire est très efficace, mais très mal sécurisé

Que faut-il réellement penser de Zoom, la nouvelle coqueluche des télétravailleurs confinés ? Depuis la mise en confinement de la moitié de la planète, ce service de vidéoconférence gagne sans cesse en popularité, apparemment à juste titre. L’interface est agréable et la qualité audiovisuelle est de très bon niveau. Mais de plus en plus d’ombres apparaissent au tableau, sur le plan de la sécurité et de la protection des données personnelles.

 

La semaine dernière, on se souvient, l’entreprise a dû faire plusieurs rétropédalages. D’après le site Vice, son application iOS partageait des données d’utilisateurs avec Facebook sans que cela soit clairement mentionné. Parallèlement, un chercheur de Harvard alertait dans une note de blog sur la vente potentielle par Zoom de données personnelles à des fins publicitaires.
Vendredi dernier, l’appli a été mise à jour pour stopper cet échange avec Facebook. Dans la foulée, l’entreprise a modifié sa politique de protection des données personnelles en ajoutant les phrases suivantes :
« Zoom ne surveille pas et n’utilise pas le contenu des clients pour une raison autre que la fourniture de nos services. Zoom ne vend de contenu client à personne et ne l’utilise pas à des fins publicitaires. » Fin de la polémique ? Pas vraiment.
Le site The Intercept vient maintenant de révéler que les communications audio et vidéo de Zoom ne sont pas chiffrées de bout en bout, alors que l’entreprise le suggère fortement sur son site Web et dans un libre blanc technique. D’après les termes employés, il serait ainsi possible de « sécuriser une réunion avec du chiffrement de bout en bout ». Mais en réalité, seule la messagerie instantanée peut être chiffrée de bout en bout.

Les flux audio et vidéo ne sont chiffrés qu’en TLS entre les terminaux des clients et les serveurs de Zoom, comme c’est le cas pour n’importe quel autre site Web sécurisé.
En théorie, l’entreprise peut donc écouter et visionner le contenu des réunions… et les autorités gouvernementales le peuvent aussi si elles le souhaitent. La communication marketing de Zoom est donc loin d’être claire à ce sujet, probablement parce que l’entreprise cherche à dissimuler cette faiblesse technique.

YouTube : la filiale de Google interdit les attaques personnelles et le harcèlement

 

D’autres services, en effet, proposent le chiffrement de bout en bout. C’est le cas par exemple des appels vocaux de Signal et des conférences audio et vidéo d’Apple FaceTime.
Interrogé par The Intercept, le chercheur en sécurité Matthew Green souligne que le chiffrement de bout en bout d’une vidéoconférence à plusieurs personnes est compliqué à réaliser, car il faut pouvoir détecter en temps réel qui est en train de parler. Quand tout est chiffré, il faut implémenter des mécanismes spécifiques, ce qui est « faisable, mais pas facile », estime-t-il.

 

Source : 01net

Similaires