IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout
Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Le , par Stéphane le calme

311PARTAGES

11  0 
Zoom, le service de visioconférence dont l'utilisation a explosé au milieu de la pandémie de Covid-19, prétend implémenter un chiffrement de bout en bout, un protocole largement compris comme la forme de communication Internet la plus privée puisqu’il protège les conversations de toutes les parties extérieures. En fait, Zoom utilise sa propre définition du terme, celle qui permet à Zoom d'accéder à la vidéo et à l'audio non chiffrés à partir des réunions.

Avec des millions de personnes dans le monde travaillant à domicile afin de ralentir la propagation du coronavirus, les affaires sont en plein essor pour Zoom, ce qui n’a pas manqué d’attirer l'attention sur l'entreprise et ses pratiques de confidentialité, y compris une politique, mise à jour plus tard, qui semblait donner à l'entreprise l'autorisation d'exploiter des messages et des fichiers partagés lors de réunions à des fins de ciblage publicitaire.

Pourtant, Zoom offre fiabilité, facilité d'utilisation et au moins une assurance de sécurité très importante : tant que vous vous assurez que tout le monde dans une réunion Zoom se connecte en se servant de « l'audio de l'ordinateur » au lieu de procéder à un appel depuis un téléphone, la réunion est sécurisée avec un chiffrement de bout en bout, du moins selon le site Web de Zoom, son livre blanc sur la sécurité et l'interface utilisateur de l'application. Mais malgré ce marketing trompeur, le service ne prend pas en charge le chiffrement de bout en bout pour le contenu vidéo et audio, du moins comme le terme est communément compris. Au lieu de cela, il offre ce qu'on appelle habituellement le chiffrement de transport.

Dans le livre blanc de Zoom, il existe une liste de « fonctionnalités de sécurité avant la réunion » disponibles pour l'hôte de la réunion qui commence par « Activer une réunion chiffrée de bout en bout (E2E) ». Plus loin dans le livre blanc, il est fait mention de « Sécuriser une réunion avec le chiffrement E2E » comme étant une « capacité de sécurité en réunion » disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre « Exiger le chiffrement pour les points de terminaison tiers » activé, les participants voient un cadenas vert qui dit, « Zoom utilise une connexion chiffrée de bout en bout » lorsqu'ils passent la souris dessus.


Un chiffrement de bout en bout, oui, mais pas au sens traditionnel

Mais lorsque l’entreprise a été contactée pour savoir si les réunions vidéo sont réellement chiffrées de bout en bout, un porte-parole de Zoom a écrit: « Actuellement, il n'est pas possible d'activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée sur une connexion TLS ».

Le chiffrement utilisé par Zoom pour protéger les réunions est TLS, la même technologie que les serveurs Web utilisent pour sécuriser les sites Web HTTPS. Cela signifie que la connexion entre l'application Zoom exécutée sur l'ordinateur ou le téléphone d'un utilisateur et le serveur Zoom est chiffrée de la même manière que la connexion entre votre navigateur Web et ce billet (sur https://www.developpez.com) est chiffrée. Il s'agit du chiffrement de transport, qui est différent du chiffrement de bout en bout, car le service Zoom lui-même peut accéder au contenu vidéo et audio non chiffré des réunions Zoom. Ainsi, lorsque vous avez une réunion Zoom, le contenu vidéo et audio restera privé pour toute personne espionnant votre Wi-Fi, mais il ne restera pas privé pour la société.

Pour qu'une réunion Zoom soit chiffrée de bout en bout, le contenu vidéo et audio devrait être chiffré de telle sorte que seuls les participants à la réunion aient la possibilité de la déchiffrer. Le service Zoom lui-même pourrait avoir accès au contenu de la réunion chiffré, mais n'aurait pas les clés de déchiffrement nécessaires pour le déchiffrer (seuls les participants à la réunion auraient ces clés) et, par conséquent, n'aurait pas la capacité technique d'écouter les réunions privées.

« Lorsque nous utilisons l'expression ‘de bout en bout’ dans nos autres publications, cela fait référence à la connexion chiffrée du point de terminaison Zoom au point de terminaison Zoom », a avancé un porte-parole de Zoom, faisant apparemment référence aux serveurs Zoom comme des « points de terminaison » même s'ils se trouvent entre les clients Zoom. « Le contenu n'est pas déchiffré tandis qu’il est transféré à travers le cloud Zoom » via la mise en réseau entre ces machines.

Seule la fonctionnalité de chat textuel en réunion semble bénéficier du chiffrement de bout en bout

Matthew Green, cryptographe et professeur d'informatique à l'Université Johns Hopkins, souligne que la vidéoconférence de groupe est difficile à chiffrer de bout en bout. En effet, le fournisseur de services doit détecter qui parle pour agir comme un standard téléphonique, ce qui lui permet d'envoyer uniquement un flux vidéo haute résolution de la personne qui parle en ce moment ou qu'un utilisateur sélectionne au reste du groupe, et d'envoyer des flux vidéo en basse résolution d'autres participants. Ce type d'optimisation est beaucoup plus facile si le fournisseur de services peut tout voir, car il n'est pas chiffré.

« Si tout est chiffré de bout en bout, vous devez ajouter des mécanismes supplémentaires pour vous assurer que vous pouvez faire ce type de commutateur ‘qui est en train de parler’, et vous pouvez le faire d'une manière qui ne laisse pas couler beaucoup d'informations . Vous devez pousser cette logique jusqu'aux points d'extrémité », a-t-il noté. Ce n'est pas impossible, cependant, a déclaré Green, comme le démontre FaceTime d'Apple, qui permet la vidéoconférence de groupe chiffrée de bout en bout. « C'est faisable, ce n’est simplement pas facile ».

« Ils sont un peu flous sur ce qui est chiffré de bout en bout », a déclaré Green à propos de Zoom. « Je pense qu'ils font cela d'une manière un peu malhonnête. Ce serait bien s'ils venaient à dire la vérité ».

La seule fonctionnalité de Zoom qui semble être chiffrée de bout en bout est le chat textuel en réunion. « Le chiffrement de chat Zoom E2E permet une communication sécurisée où seul le destinataire prévu peut lire le message sécurisé », indique le livre blanc. «Zoom utilise une clé publique et privée pour chiffrer la session de chat avec Advanced Encryption Standard (AES-256). Les clés de session sont générées avec un ID matériel unique pour éviter que les données ne soient lues sur d'autres appareils ». Un porte-parole de Zoom a expliqué que « Lorsque le chiffrement de bout en bout pour le chat est activé, les clés sont stockées sur les appareils locaux et Zoom n'a pas accès aux clés pour déchiffré les données ».


Aucun rapport de transparence

Sans chiffrement de bout en bout, Zoom a la capacité technique d'espionner les réunions vidéo privées et pourrait être contraint de remettre les enregistrements des réunions aux gouvernements ou aux forces de l'ordre en réponse à des demandes légales. Alors que d'autres sociétés comme Google, Facebook et Microsoft publient des rapports de transparence qui décrivent exactement le nombre de demandes de données d'utilisateurs reçues par les gouvernements de quels pays et le nombre de celles auxquelles ils se conforment, Zoom ne publie pas de rapport de transparence. Le 18 mars, le groupe de défense des droits de l’homme Access Now a publié une lettre ouverte appelant Zoom à publier un rapport de transparence pour aider les utilisateurs à comprendre ce que l'entreprise fait pour protéger leurs données.

« Les rapports de transparence sont l'un des moyens les plus efficaces pour les entreprises de divulguer les menaces à la vie privée et à la liberté d'expression des utilisateurs. Ils nous aident à comprendre les lois de surveillance dans différentes juridictions, fournissent des informations utiles sur les fermetures et les interruptions de réseau, et ils nous montrent quelles entreprises combattent les demandes incorrectes d'informations sur les utilisateurs », a déclaré Isedua Oribhabor, analyste des politiques américaines chez Access Now. L'indice de rapports de transparence d'Access Now montre une tendance à la baisse dans la consistance des rapports de transparence, ce qui, selon Oribhabor, supprime un outil essentiel pour les utilisateurs et la société civile pour tenir les gouvernements et les entreprises responsables.

Oribhabor a souligné que Zoom pourrait être contraint de remettre des données aux gouvernements qui souhaitent surveiller les réunions en ligne ou contrôler la diffusion d'informations lorsque les militants se tournent vers des manifestations en ligne. L'absence de rapport sur la transparence rend difficile la détermination de l'augmentation du nombre de demandes et la manière dont Zoom répondrait.

« Les entreprises ont la responsabilité d'être transparentes sur ce type de demandes, d'aider les utilisateurs et la société civile à voir où se produisent les abus du gouvernement et comment l'entreprise les combat », a déclaré Oribhabor.

Sources : Access Now (rapports de transparence), Access Now (lettre à Zoom), Zoom (papier blanc, site web), Harvard, Consumer Reports

Et vous ?

De quel outil vous servez-vous pour vos réunions en ligne ?
Que pensez-vous de Zoom ?
Que pensez-vous du fait que Zoom n'implémente pas actuellement le chiffrement de bout en bout ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Arb01s
Membre du Club https://www.developpez.com
Le 03/08/2021 à 21:22
Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)
L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.
4  0 
Avatar de pboulanger
Membre éprouvé https://www.developpez.com
Le 31/08/2023 à 9:33
A l'heure des grands openspaces le télétravail permet de travailler dans un environnement plus serein (moins bruyant) tout en évitant de perdre du temps dans les transports (aller/retour au bureau me coûte 2h30 de transports en commun quand tout va bien). Le télétravail est donc plus intéressant pour ce qui nécessite de la concentration mais il faut faire attention de ne pas se laisser distraire par l'environnement (TV, radio, enfants, etc...): il faut donc une certaine maturité ou volonté.
Malheureusement le télétravail nuit à l'esprit d'équipe: les membres ont moins de contact, ne se voient pas et ont moins d'événements qui permettent de créer une cohésion. La pause café au bureau est souvent un moment de partage et d'échange qui permet de connaître ses collègues et de créer du lien qui transcende l'aspect purement travail. Alors il y a des cafés virtuels et des échanges standards mais, personnellement, je trouve que ça n'a ni le même charme ni le même effet sur l'équipe. Et dans mon passé, j'ai de nombreux souvenirs sur la pause café qui a permet de résoudre des problèmes de travail ou permis de faire émerger des idées.
5  1 
Avatar de Leruas
Membre éclairé https://www.developpez.com
Le 08/08/2023 à 18:20
La blague... ils vivent grâce au télétravail mais ça va être interdit chez eux
3  0 
Avatar de calvaire
Expert confirmé https://www.developpez.com
Le 31/08/2023 à 11:27
Moi je bois pas de café j'ai horreur de ca et je fume pas, donc pas de pause café et de pause clope.
je préfère faire le minimum de pause pour rentrer le plus vite chez moi.

les afterwork, je n'y vais jamais ça me fait chier.

Donc les rencontres à la pause clope/café ou au afterwork ne m'ont jamais concernés.

Les seuls interactions que j'ai pendant le déjeuner, et on discute jamais boulot.
on parle des loisirs/de ce qu'on a fait le weekend/pendant les vacances, de politique mais aussi.... des augmentations qu'on a pas, on parle du collègue qui a démissionner et si on faisait pareil quel salaire on peut avoir, de la direction qui fait vraiment de la merde...etc.

J'ai 3 jours de télétravail/semaines et je suis bien dans mon taff et je suis pas en environnement toxique, ce que je veux dire c'est que les discussions entre collègue c'est pas toujours pour apporter de nouvelles idées mais c'est aussi et souvent pour se plaindre du mauvais salaire qui augmente pas alors que le pdg lui a été augmenté de 30 millions, des mauvais outils ou des mauvaises décisions de la boite.

le télétravail permet aussi d'éviter de ce plaindre et d'une certaine façon d’être plus fidèle à l'employeur.

j'ai connu ca il y'a 10ans, dans une grosse boite du cac40, ca faisait 3 ans qu'on avait pas été augmenté et les nouveaux collègues qui venait d’être embauché été mieux payé que nous... du coups a force d'en discuter entre membre de l'équipe (7 personnes) on a tous démissionner quasiment au même moment. Le PO sait retrouvé tout seul et a du vite embaucher et refaire une équipe.
en full remote cette situation ne se serait pas produite.
4  1 
Avatar de vanquish
Membre chevronné https://www.developpez.com
Le 01/04/2020 à 9:07
Citation Envoyé par Stéphane le calme  Voir le message
[B][SIZE=4]
Pour qu'une réunion Zoom soit chiffrée de bout en bout, le contenu vidéo et audio devrait être chiffré de telle sorte que seuls les participants à la réunion aient la possibilité de la déchiffrer. Le service Zoom lui-même pourrait avoir accès au contenu de la réunion chiffré, mais n'aurait pas les clés de déchiffrement nécessaires pour le déchiffrer (seuls les participants à la réunion auraient ces clés) et, par conséquent, n'aurait pas la capacité technique d'écouter les réunions privées.

En même temps, quand j'ai à l'écran 25 vignettes vidéo, avec mon ADSL faiblard, je me doute que je ne reçois pas les 25 flux vidéo dans leur résolution d'origine.
Ce système fonctionne incroyablement bien, même à 50 sur une connexion 4 Mb/s.
Pour arriver à ce résultat, nul doute qu'un travail est fait sur les vidéos au niveau du serveur avant leur re-dispatchage vers les différents clients, ce qu'interdirait un chiffrement de bout en bout.
2  0 
Avatar de Eric80
Membre éclairé https://www.developpez.com
Le 08/04/2020 à 15:17
Teams est utlisé depuis un bon moment déjà ds bcp d entreprises, donc il est probable que les failles de sécurités y soient analysées aussi depuis plus longtemps.

Je trouve hallucinant comment zoom est devenue LA plateforme en quelques semaines, et que tout le monde s'y met avec des failles aussi béantes que ce zoombombing.
Preuve que > 80% (à la louche) des utilisateurs ne se soucient guère des pbs de sécurité, car ils n y sont pas initiés.

QQues pistes sur la popularité de Zoom:
https://www.businessinsider.com/zoom...?r=US&IR=T

Avec le renaming de Office 365 en Microsoft 365, Teams devient offert au gd public: probable que le succès de Zoom et surtout le confinement généralisé sont des motivations fortes pour MS de fournir Teams pour tous.
2  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 10/11/2020 à 18:57
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient.
Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme.
On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
@Jeff_67
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
2  0 
Avatar de palnap
Membre averti https://www.developpez.com
Le 31/08/2023 à 12:09
En même temps quand on voit leur produit phare... Ça laisse un doute 😅

Cf. https://ifuckinghatejira.com/
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 08/04/2020 à 7:54
ma boite (américaine) vient de proscrire Zoom pour les communications internes. Je suppose que ce n'est pas un hasard. On utilise Teams- mais je ne sais pas si c'est plus sécurisé, ou si les failles ne sont pas encore connues...
1  0 
Avatar de
https://www.developpez.com
Le 11/11/2020 à 7:03
Citation Envoyé par defZero Voir le message
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
En l’occurence, dans l’affaire Encrochat, la gendarmerie a eu légalement accès aux serveurs situés en France grâce à une commission rogatoire pour diffuser un malware et trouer la sécurité des terminaux à l’insu des usagers. Aux USA, c’est encore mieux, le Patriot Act peut contraindre les entreprises à trouer la sécurité de leurs logiciels avec interdiction de le dévoiler publiquement.
1  0