Mi-avril, l’application de vidéoconférence était littéralement ensevelie sous les très nombreux problèmes de sécurité et de vie privée. L’éditeur avait alors annoncé une période de trois mois pour se recentrer sur ces thématiques et colmater ses brèches.
Un mois et demi plus tard, de nouvelles versions ont corrigé le tir sur de nombreux points. L’un des plus notables est le passage d’AES-256 ECB à AES-256 GCM (beaucoup plus robuste). Gros point noir également réglé, un lot de fonctions par défaut permettant trop facilement de s’insérer dans les réunions et d’y mettre le bazar.
Restait le cas du chiffrement de bout en bout. Alex Stamos, ancien directeur de la sécurité chez Facebook et embauché comme consultant par Zoom, fait le point chez Reuters.
Le chiffrement de bout en bout sera bel et bien déployé, mais uniquement accessible aux clients payants et institutions. Pourquoi ? Principalement parce que l’utilisation gratuite doit pouvoir être « surveillée ». Comprendre y détecter des comportements abusifs par analyse des signaux.
Le chiffrement de bout en bout revient pour rappel à transformer l’éditeur concerné en fournisseur de tuyauterie : il ne peut pas voir ce qui transite, les données étant chiffrées avant de quitter l’appareil.
Stamos précise que les plans dans ce domaine peuvent encore évoluer, mais quelques précisions sont données. Par exemple, le chiffrement de bout en bout ne sera pas disponible pour les utilisateurs rejoignant une conférence depuis un téléphone. En outre, les organismes à but non lucratif devraient pouvoir en profiter, mais les conditions restent à définir.
En clair, il s’agit d’une couche supplémentaire de sécurité pour utilisateurs spécifiques, et non d’un fonctionnement global de type Signal. Pour le rachat de Keybase le 7 mai dernier, Zoom s’était montré clair, l’éditeur insistant sur le cas de clients « priorisant la vie privée sur la compatibilité ».
