Zoom, est un service de visioconférence dont l'utilisation a explosé au milieu de la pandémie de Covid-19, prétend mettre en œuvre chiffrement de bout en bout, un protocole largement connu comme la forme de communication la plus privée sur Internet car il protège les conversations de toutes les parties extérieures.
Avec des millions de personnes dans le monde travaillant à domicile pour arrêter la propagation du coronavirus, les affaires sont en plein essor pour Zoom, qui a attiré l'attention sur l'entreprise et ses pratiques de confidentialité.
Toutefois, Le zoom offre fiabilité et facilité d'utilisation et au moins une garantie de sécurité très importante: tant que vous vous assurez que tout le monde dans une réunion Zoom se connecte en utilisant "l'audio de l'ordinateur" pour passer un appel depuis un téléphone, la réunion est sécurisée avec un cryptage de bout en bout, au moins d'après cela, c'est ce que le site Web Zoom et son livre blanc sur la sécurité et l'interface utilisateur de l'application s'affichent.
Mais malgré ce marketing trompeur, le service ne prend pas en charge le cryptage de bout en bout pour le contenu vidéo et audio, du moins comme le terme est généralement compris. Au lieu de cela, il offre ce que l'on appelle généralement le chiffrement de transport.
Dans le livre blanc Zoom, il y a une liste de «Fonctionnalités de sécurité préalables à la réunion» disponibles pour l'organisateur de la réunion en commençant par «activer une réunion chiffrée de bout en bout (E2E)».
Plus tard dans le livre blanc, il est dit «Sécurisez une réunion avec le cryptage E2E«En tant que« capacité de sécurité de réunion »disponible pour les hôtes de la réunion. Lorsqu'un hôte démarre une réunion avec l'option «Exiger le chiffrement pour les points de terminaison tiers»Activé, les participants voient un cadenas vert indiquant« Zoom utilise une connexion cryptée de bout en bout »lorsqu'ils survolent celui-ci.
Lorsque plusieurs utilisateurs ont tenté de contacter l'entreprise pour le savoir si les visioconférences sont vraiment cryptées de bout en bout, un porte-parole de Zoom a écrit:
Le cryptage E2E ne peut pas être activé pour la visioconférence Zoom. Les visioconférences agrandies utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée via une connexion TLS ».
Le cryptage utilisé par Zoom pour protéger les réunions est TLS, lla même technologie utilisée par les serveurs Web pour protéger les sites Web HTTPS. Cela signifie que la connexion entre l'application Zoom exécutée sur l'ordinateur ou le téléphone d'un utilisateur et le serveur Zoom est crypté de la même manière que la connexion entre un navigateur Web et un site Web.
Il s'agit du chiffrement de transport, qui est différent du chiffrement de bout en bout car le service Zoom lui-même peut accéder au contenu vidéo et audio non chiffré des réunions Zoom. Ainsi, lorsque vous avez une réunion Zoom, le contenu vidéo et audio restera privé pour toute personne essayant d'intercepter le trafic, mais il ne le restera pas pour l'entreprise.
Pour qu'une réunion Zoom soit chiffrée de bout en bout, le contenu vidéo et audio doit être chiffré afin que seuls les participants à la réunion puissent le déchiffrer. Le service Zoom lui-même pourrait avoir accès au contenu crypté de la réunion, mais il n'aurait pas les clés de décryptage nécessaires pour le décrypter (seuls les participants à la réunion auraient ces clés) et n'aurait donc pas la capacité technique d'écouter les réunions. privé.
«Lorsque nous utilisons le terme« de bout en bout »dans nos autres articles, cela fait référence à la connexion chiffrée entre le point de terminaison Zoom et le point de terminaison Zoom», a déclaré un porte-parole de Zoom, faisant apparemment référence aux serveurs Zoom comme des «points final »même s'ils font partie des clients Zoom. "Le contenu n'est pas décrypté car il est transféré via le cloud Zoom" sur le réseau entre ces machines.
Le simple fait de se conformer à la fonctionnalité de chat textuel semble bénéficier d'un cryptage de bout en bout.
source: https://www.consumerreports.org