Ouvrir le menu principal

MacGeneration

Recherche

Zoom ne chiffre pas les conversations de bout en bout, malgré ses promesses

Nicolas Furno

mardi 31 mars 2020 à 15:15 • 25

Logiciels

Propulsé sous le feu des projecteurs à cause du confinement et de l’essor des visioconférences, Zoom est critiqué de toute part. Quelques mois après la faille de sécurité majeure liée à son app macOS, quelques jours après une polémique concernant l’app iOS qui partageait trop de données avec Facebook et alors que son app macOS est critiquée pour ses méthodes d’installation, on apprend aujourd’hui que ses flux vidéo ne sont pas chiffrés de bout en bout, contrairement à ce que Zoom prétend.

C’est le site The Intercept qui a mené l’enquête et obtenu une confirmation de la part de Zoom que les flux audio et vidéo réalisés avec le service n’étaient pas chiffrés de bout en bout. Pourtant, c’est explicitement ce que le site officiel met en avant sur cette page dédiée à la sécurité, en évoquant la possibilité en option de « Sécuriser une réunion avec un chiffrement de bout en bout ». Quand cette option est activée, un cadenas est affiché dans un coin de l’interface pendant une visioconférence et au survol de la souris, un message confirme que tout est chiffré de bout en bout.

Capture d’écran du site de Zoom.

Difficile, en théorie, d’être plus explicite que cela. Mais pas pour Zoom qui a inventé sa propre définition du chiffrement de bout en bout. Dans sa réponse au site, l’entreprise explique : « Quand nous utilisons l’expression de bout en bout […] c’est en référence à la connexion qui est chiffrée d’une destination1 Zoom à une autre. » Sauf que cette « destination » peut aussi être le serveur qui fait le relai entre deux clients Zoom.

Disons les choses comme elles sont : il ne s’agit pas d’un chiffrement de bout en bout, c’est un simple chiffrement. La communication entre votre ordinateur, tablette ou smartphone et le serveur de Zoom est chiffrée et un tiers ne peut pas y accéder à votre insu. Pareil entre le serveur et l’appareil de votre interlocuteur, les flux sont également chiffrés, tout comme c’est le cas pour les informations transmises par un site web sécurisé en https. C’est exactement le même principe et d’ailleurs Zoom utilise TLS, le même protocole de sécurité utilisé entre les serveurs des sites web et les navigateurs.

Un chiffrement de bout en bout reste en place sur toute la chaîne, y compris sur le serveur placé comme intermédiaire. Dans cette configuration, personne ne peut déchiffrer le flux entre les deux, y compris sur le serveur qui ne sert qu’en guise de relai. Alors qu’avec le chiffrement simple proposé par Zoom, la vidéo comme l’audio ne sont pas chiffrés sur le serveur et n’importe quel employé pourrait y accéder. Au contraire de FaceTime, qui est vraiment chiffré de bout en bout, et qui permet de communiquer en ayant la certitude que seuls les participants verront et entendront la conversation.

Pourquoi est-ce que Zoom ne propose pas de chiffrement de bout en bout ? Parce que le service réalise une partie du travail sur le serveur plutôt que côté client. En particulier, la détection de la personne qui parle pour la mettre en avant est faite sur les serveurs de l’entreprise. Cette approche a des avantages indéniables, la simplicité qui a fait le succès de Zoom est sans conteste lié à ce choix. La possibilité d’utiliser le service dans un simple navigateur web, aussi.

Le client desktop de Zoom affiche clairement que la visioconférence est chiffrée de bout en bout, ce qui est faux (capture The Intercept).

Mais si le flux n’est pas chiffré de bout en bout, Zoom n’a pas le droit de le dire et de le mettre en avant. La seule chose qui est vraiment chiffrée de bout en bout pour l’heure, ce sont les échanges par texte. Et encore, il faut activer une option, puisque ce n’est pas le cas par défaut, mais la firme semble ensuite faire correctement le travail, avec un vrai chiffrement complet.

Encore une fois, l’entreprise fait preuve d’une attitude bien désinvolte vis-à-vis de la vie privée et de la sécurité de ses utilisateurs. Dans sa réponse au site The Intercept, Zoom promet avoir pris toutes les précautions nécessaires pour éviter toute fuite de données et ses milliers d’employés ne sont pas censés avoir accès aux flux échangés par le biais de ses serveurs.

Image d’accroche : Joybot (CC BY-SA 2.0)


  1. « End point » dans la version originale.  ↩

illustration magazine 25 ans

MacGeneration a 25 ans !

Participez à la fête et découvrez l’histoire de votre site favori en précommandant notre magazine exclusif.

Je précommande le magazine

L'Apple Watch Ultra 2 et quatre autres montres à l'épreuve du marathon de New York

15:07


Pour son Black Friday, Apple offrira jusqu’à 150 € en carte cadeau

15:02

• 9


Antitrust : le DoJ réclame officiellement que Google vende Chrome

10:32

• 77


Apple, Anker : de nombreux adaptateurs secteur en promo (jusqu’à -33 %)

10:02

• 3


Les meilleures offres de la Black Week. Tout au long du mois de novembre

Partenaire


Le SSD Thunderbolt 5 d'OWC est disponible : le plus rapide du marché, mais aussi le plus cher

20/11/2024 à 21:30

• 15


Test de l’iMac 24" M4 : haut en couleur

20/11/2024 à 20:30

• 27


Promotion Black Friday de Godeal24 : Microsoft Office à - 80 %, c'est maintenant 📍

20/11/2024 à 20:22


macOS 15.2 : quatrième bêta développeur, et troisième bêta publique 🆕

20/11/2024 à 19:56

• 6


Refurb : -220 € sur le MacBook Air M3 en 16/1 To

20/11/2024 à 17:45

• 38


Aqara commercialise aussi un détecteur de fumée connecté compatible HomeKit (avec code promo 🆕)

20/11/2024 à 15:25


Apple vs DoJ : la Pomme va demander à un juge fédéral d’abandonner les poursuites

20/11/2024 à 15:09

• 55


Apple vend désormais elle-même des espaces publicitaires dans Apple News

20/11/2024 à 14:38

• 8


Beats : Erling Haaland fait de la pub à l'ancienne

20/11/2024 à 12:15

• 12


YouTube : IMG_0001 déterre de vieilles vidéos filmées à l’iPhone

20/11/2024 à 11:44

• 9


Incogni en énorme promotion pour le Black Friday, reprenez le contrôle de vos données en ligne ! 📍

20/11/2024 à 10:19