IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs,
Zoom l'admet et s'explique

Le , par Bill Fassinou

702PARTAGES

6  0 
Zoom est une application de téléconférence dont la popularité a considérablement augmenté, étant donné qu'une grande partie du monde est soumise au travail à domicile. L'objectif global de conception de l'application semble être de réduire les frictions lors de la vidéoconférence et de faire en sorte que les choses fonctionnent « simplement ». La popularité de Zoom est montée en flèche depuis le début de la pandémie du Covid-19, mais beaucoup de choses semblent le rattraper à présent.

Les découvertes de failles de sécurité graves se multiplient et Zoom commence par être déprécié par certains patrons de la Tech et d’autres interdisent déjà son utilisation au sein de leurs organisations. Un ex-hacker de la NSA découvre une nouvelle faille de sécurité dans Zoom servant à prendre le contrôle des Mac, en particulier la webcam, le micro et l'accès "root". Selon des chercheurs de l'Université de Toronto, les réunions sur Zoom sont cryptées à l'aide d'un algorithme présentant des failles de sécurité graves et bien connues, et parfois à l'aide de clés émises par des serveurs en Chine, même lorsque les participants aux réunions se trouvent tous en Amérique du Nord.

Dans sa documentation, Zoom prétend utiliser un chiffrement, mais les chercheurs pensent le contraire

La documentation de Zoom prétend que l'application utilise le chiffrement AES-256 pour les réunions. Cependant, les chercheurs ont constaté que dans chaque réunion sur Zoom, une seule clé AES-128 est utilisée en mode ECB par tous les participants pour chiffrer et déchiffrer l'audio et la vidéo. L'utilisation du mode ECB n'est pas recommandée, car les modèles présents dans le texte en clair sont préservés pendant le chiffrement.


Selon les chercheurs, la documentation de Zoom contient un certain nombre d'affirmations peu claires sur le chiffrement proposé par la plateforme. Certaines documentations de Zoom (ainsi que l'application Zoom elle-même) affirment que Zoom offre une fonctionnalité de chiffrement de bout en bout pour les réunions. Toutefois, pour les chercheurs, le terme « chiffré de bout en bout » signifie que seules les parties à la communication peuvent y accéder (et pas les intermédiaires qui relaient la communication). Une autre documentation de Zoom indique que le logiciel de réunion de Zoom pour Windows, MacOS et Linux utilise par défaut le schéma standard TLS 1.2 pour le chiffrement du transport, bien qu'il semblerait que la plateforme n'utilise pas TLS.

Zoom admet que sa plateforme n'implémente pas actuellement le chiffrement de bout en bout

En réponse à cette confusion, dans un billet de blog a publié le premier avril dernier, Zoom apporte des explications sur son schéma de chiffrement. En gros, le billet de blog précise que Zoom n'implémente pas actuellement le chiffrement « de bout en bout », car pour la plupart des gens, le terme "chiffrement de bout en bout" décrit une situation dans laquelle tous les participants à la conférence (à l'exception de ceux qui se connectent via le réseau téléphonique public commuté) sont tenus d'utiliser le chiffrement de transport entre leurs appareils et les serveurs Zoom.

Pour les chercheurs, la définition de "chiffrement de bout en bout" de Zoom ne semble pas être une définition standard, même dans le domaine des solutions de vidéoconférence d'entreprise parce que Zoom n'implémente pas un véritable chiffrement de bout en bout, ils ont la capacité théorique de déchiffrer et de surveiller les appels Zoom. Néanmoins, Zoom mentionne qu'ils n'ont pas construit de mécanisme pour intercepter les réunions de leurs clients.

Zoom envoie certaines clés de chiffrement via des serveurs en Chine

Les clés AES-128, dont les chercheurs disent avoir vérifié qu'elles sont suffisantes pour déchiffrer les paquets Zoom interceptés dans le trafic Internet, semblent être générées par les serveurs Zoom et, dans certains cas, sont remises aux participants d'une réunion Zoom via des serveurs en Chine, même lorsque les participants des réunions sont en dehors de la Chine.

« Lors d'un test d'une réunion Zoom avec deux utilisateurs, l'un aux États-Unis et l'autre au Canada, nous avons constaté que la clé AES-128 pour le chiffrement et le déchiffrement de la conférence avait été envoyée à l'un des participants via TLS à partir d'un serveur Zoom apparemment situé à Pékin. Une analyse montre un total de cinq serveurs en Chine et 68 aux États-Unis qui exécutent apparemment le même logiciel de serveur Zoom. Nous pensons que les clés peuvent être distribuées via ces serveurs », selon les chercheurs.


Le logo de Zoom au-dessus du nom de l'une des entreprises de développement chinoises de Zoom, « Ruanshi Software Ltd.»

Cependant, le PDG de Zoom, Eric S Yuan, a déclaré que le routage des appels US via des serveurs chinois n'est pas la norme et ne s'est produit qu'en raison du trafic élevé. « Pendant les opérations normales, les clients Zoom tentent de se connecter à une série de centres de données principaux dans ou à proximité de la région d'un utilisateur, et si ces multiples tentatives de connexion échouent en raison d'une congestion du réseau ou d'autres problèmes, les clients atteindront deux centres de données secondaires à partir d'une liste de plusieurs centres de données secondaires comme pont de sauvegarde potentiel vers la plate-forme Zoom. Dans tous les cas, les clients Zoom reçoivent une liste de centres de données appropriés à leur région. Ce système est essentiel à la fiabilité des marques de Zoom, en particulier en cette période ».

Zoom, une société basée dans la Silicon Valley, semble détenir trois sociétés en Chine par le biais desquelles au moins 700 employés sont payés pour développer le logiciel Zoom. Ce serait apparemment un effort de Zoom pour éviter de payer des salaires aux Américains lors de la vente à des clients américains, augmentant ainsi leur marge bénéficiaire. Cependant, cela peut rendre Zoom sensible aux pressions des autorités chinoises.

Le procureur général de New York envoie une demande d'explication à Zoom

Lundi, le procureur général de New York, Letitia James, a envoyé une lettre à la société lui demandant de décrire les mesures qu'elle avait prises pour répondre aux problèmes de sécurité et s'adapter à l'augmentation du nombre d'utilisateurs. Dans la lettre, James a déclaré que Zoom avait été lent à traiter les failles de sécurité « qui pourraient permettre à des personnes malveillantes, entre autres, d'accéder subrepticement aux webcams ».

Un porte-parole de Zoom a déclaré qu'il prévoyait d'envoyer à James les informations demandées et de se conformer à la demande. « Zoom prend la confidentialité, la sécurité et la confiance de ses utilisateurs très au sérieux. Pendant la pandémie de Covid-19, nous travaillons sans relâche pour garantir que les hôpitaux, les universités, les écoles et les autres entreprises du monde entier puissent rester connectées et opérationnelles », a déclaré le porte-parole.

Sources : Zoom, Citizen Lab

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root, Elon Musk interdit à ses employés de l'utiliser

Facebook a développé une app mobile de reconnaissance faciale qui permettait d'identifier ses employés et leurs amis, en pointant le téléphone dans leur direction

Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA

Google va payer 1,5*million de dollars pour les exploits les plus critiques sur Android, dans le cadre de son programme Android Security Rewards

Facebook teste le mode concurrent, un ensemble de nouvelles fonctionnalités qui aident les apps React à rester réactives et à s'adapter de façon fluide aux capacités et au débit réseau de l'appareil

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Arb01s
Membre du Club https://www.developpez.com
Le 03/08/2021 à 21:22
Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)
L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.
4  0 
Avatar de pboulanger
Membre éprouvé https://www.developpez.com
Le 31/08/2023 à 9:33
A l'heure des grands openspaces le télétravail permet de travailler dans un environnement plus serein (moins bruyant) tout en évitant de perdre du temps dans les transports (aller/retour au bureau me coûte 2h30 de transports en commun quand tout va bien). Le télétravail est donc plus intéressant pour ce qui nécessite de la concentration mais il faut faire attention de ne pas se laisser distraire par l'environnement (TV, radio, enfants, etc...): il faut donc une certaine maturité ou volonté.
Malheureusement le télétravail nuit à l'esprit d'équipe: les membres ont moins de contact, ne se voient pas et ont moins d'événements qui permettent de créer une cohésion. La pause café au bureau est souvent un moment de partage et d'échange qui permet de connaître ses collègues et de créer du lien qui transcende l'aspect purement travail. Alors il y a des cafés virtuels et des échanges standards mais, personnellement, je trouve que ça n'a ni le même charme ni le même effet sur l'équipe. Et dans mon passé, j'ai de nombreux souvenirs sur la pause café qui a permet de résoudre des problèmes de travail ou permis de faire émerger des idées.
5  1 
Avatar de Leruas
Membre éclairé https://www.developpez.com
Le 08/08/2023 à 18:20
La blague... ils vivent grâce au télétravail mais ça va être interdit chez eux
3  0 
Avatar de calvaire
Expert confirmé https://www.developpez.com
Le 31/08/2023 à 11:27
Moi je bois pas de café j'ai horreur de ca et je fume pas, donc pas de pause café et de pause clope.
je préfère faire le minimum de pause pour rentrer le plus vite chez moi.

les afterwork, je n'y vais jamais ça me fait chier.

Donc les rencontres à la pause clope/café ou au afterwork ne m'ont jamais concernés.

Les seuls interactions que j'ai pendant le déjeuner, et on discute jamais boulot.
on parle des loisirs/de ce qu'on a fait le weekend/pendant les vacances, de politique mais aussi.... des augmentations qu'on a pas, on parle du collègue qui a démissionner et si on faisait pareil quel salaire on peut avoir, de la direction qui fait vraiment de la merde...etc.

J'ai 3 jours de télétravail/semaines et je suis bien dans mon taff et je suis pas en environnement toxique, ce que je veux dire c'est que les discussions entre collègue c'est pas toujours pour apporter de nouvelles idées mais c'est aussi et souvent pour se plaindre du mauvais salaire qui augmente pas alors que le pdg lui a été augmenté de 30 millions, des mauvais outils ou des mauvaises décisions de la boite.

le télétravail permet aussi d'éviter de ce plaindre et d'une certaine façon d’être plus fidèle à l'employeur.

j'ai connu ca il y'a 10ans, dans une grosse boite du cac40, ca faisait 3 ans qu'on avait pas été augmenté et les nouveaux collègues qui venait d’être embauché été mieux payé que nous... du coups a force d'en discuter entre membre de l'équipe (7 personnes) on a tous démissionner quasiment au même moment. Le PO sait retrouvé tout seul et a du vite embaucher et refaire une équipe.
en full remote cette situation ne se serait pas produite.
4  1 
Avatar de Eric80
Membre éclairé https://www.developpez.com
Le 08/04/2020 à 15:17
Teams est utlisé depuis un bon moment déjà ds bcp d entreprises, donc il est probable que les failles de sécurités y soient analysées aussi depuis plus longtemps.

Je trouve hallucinant comment zoom est devenue LA plateforme en quelques semaines, et que tout le monde s'y met avec des failles aussi béantes que ce zoombombing.
Preuve que > 80% (à la louche) des utilisateurs ne se soucient guère des pbs de sécurité, car ils n y sont pas initiés.

QQues pistes sur la popularité de Zoom:
https://www.businessinsider.com/zoom...?r=US&IR=T

Avec le renaming de Office 365 en Microsoft 365, Teams devient offert au gd public: probable que le succès de Zoom et surtout le confinement généralisé sont des motivations fortes pour MS de fournir Teams pour tous.
2  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 10/11/2020 à 18:57
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient.
Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme.
On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
@Jeff_67
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
2  0 
Avatar de palnap
Membre averti https://www.developpez.com
Le 31/08/2023 à 12:09
En même temps quand on voit leur produit phare... Ça laisse un doute 😅

Cf. https://ifuckinghatejira.com/
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 08/04/2020 à 7:54
ma boite (américaine) vient de proscrire Zoom pour les communications internes. Je suppose que ce n'est pas un hasard. On utilise Teams- mais je ne sais pas si c'est plus sécurisé, ou si les failles ne sont pas encore connues...
1  0 
Avatar de
https://www.developpez.com
Le 11/11/2020 à 7:03
Citation Envoyé par defZero Voir le message
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
En l’occurence, dans l’affaire Encrochat, la gendarmerie a eu légalement accès aux serveurs situés en France grâce à une commission rogatoire pour diffuser un malware et trouer la sécurité des terminaux à l’insu des usagers. Aux USA, c’est encore mieux, le Patriot Act peut contraindre les entreprises à trouer la sécurité de leurs logiciels avec interdiction de le dévoiler publiquement.
1  0 
Avatar de Aesir
Membre du Club https://www.developpez.com
Le 24/08/2023 à 9:43
De toute façon, managers comme CEO ne servent à rien si ce n'est être payés plus et faire les coqs entre eux
2  1