La sécurité de Zoom mise sous surveillance pour 20 ans

source : https(:)//www.sciencesetavenir.fr/high-tech/web/la-securite-de-zoom-mise-sous-surveillance-pour-20-ans_149807

La sécurité de Zoom mise sous surveillance pour 20 ans

Par Olivier Lascar le 08.12.2020

Les pratiques de la société de visioconférence viennent d'être expertisées par la FTC : l'agence de protection des consommateurs aux Etats-Unis relève que Zoom a menti pas moins de 4 fois quant au chiffrement des données. Les explications de Charles Cuvelliez et Jean-Jacques Quisquater, spécialistes de la sécurité des réseaux numériques.

Beau temps pour Zoom. Avec l'épidémie mondiale de coronavirus, et le confinement allant de pair, le service de visioconférence a vu son utilisation exploser aux quatre coins de la planète. Pourtant, la société américaine vient de passer sous les Fourches Caudines de la FTC : la Federal Trade Commission est l'agence de protection des consommateurs aux Etats-Unis. Son enquête, qui se solde par un accord à l'amiable avec Zoom, confirme le peu de cas que le service internet faisait de la sécurité de son application. Elle révèle que Zoom a bien menti durant la première moitié de 2020 quant au chiffrement des données. Non pas une fois, ni deux fois… mais 4 fois ! Ces mensonges portent sur le chiffrement des réunions Zoom, la technique utilisée en ce sens par la start-up américaine, et le stockage de ces données qui s'avère fragile au piratage. Cerise sur le gâteau : le service de visioconférence a contourné la sécurité d'Apple sans le dire à ses clients. Résultat des courses : la FTC a décidé de mettre la sécurité de Zoom sous surveillance pour 20 ans…

Spécialistes des questions de chiffrement et de sécurité des réseaux, Charles Cuvelliez (Université de Bruxelles) et Jean-Jacques Quisquater (Université de Louvain et MIT) répondent à nos questions.
En avril 2020 Zoom a admit qu’elle n’était pas capable de proposer un chiffrement global

Sciences et Avenir : L'enquête de la FTC montre que Zoom a menti sur la qualité du chiffrement de ses visioconférences.
Ch. Cuvelliez : Oui. Un chiffrement garantit que seuls les participants à une réunion ont la clé de (dé)chiffrement pour y prendre part. En fait, il s'avère que seuls les clients qui avaient installé le produit “Connecter” de Zoom sur des serveurs chez eux jouissaient du chiffrement de bout en bout. Sans cette fonctionnalité, ce sont les serveurs de Zoom eux-mêmes – dont certains en Chine – qui maintenaient les clés de chiffrement. En d’autres termes, un pirate qui aurait eu accès à ces serveurs aurait pu aussi avoir accès aux contenus des réunions en direct. Ce n’est qu’en avril 2020 que Zoom a admit qu’elle n’était pas capable de proposer un chiffrement de bout en bout.

Le mensonge porte aussi sur l'algorithme de chiffrement.

Ch. Cuvelliez : Zoom prétendait effectivement utiliser l’algorithme de chiffrement AES-256 pour être en règle par rapport à la régulation des Etats-Unis (HIPAA) sur la santé et lui permettre d’être utilisé pour les téléconsultations. Ce n’était pas vrai. C’était un autre algorithme, AES-128, de moins en moins admis. La NSA l’interdit pour les communications top secrètes et pourtant le gouvernement britannique a utilisé Zoom, on se souvient que le Premier ministre Boris Johnson n'en faisait pas secret.
Zoom a sciemment contourné la sécurité des MacJ.-J. Quisquater : Autre problème, Zoom permet d’enregistrer les réunions et de les stocker sur son cloud, moyennant paiement. On aurait pu attendre que la société les chiffrent à cette occasion, c'est du reste ce qu'elle annonçait.