Sur Zoom, les appels ne sont pas cryptés de bout en bout - vos réunions vidéo écoutées à votre insu ?

Zoom
(Crédit photo: Shutterstock)

Zoom Video Communications a vu l'utilisation de sa plateforme de visioconférence exploser en raison de la pandémie mondiale de coronavirus et du confinement total qui en a découlé. Problème : une nouvelle investigation du magazine The Intercept remettrait en cause le cryptage intégral des sessions, vanté par l’éditeur.

Sur son site web ainsi que dans un livre blanc consacré à la sécurité des communications vidéo, la société américaine promeut une solution de cryptage de bout en bout. C’est-à-dire un chiffrement des données permettant de privatiser le message de l’expéditeur, message que seul le destinataire peut décoder. Dès lors, il est impossible pour un tiers d’écouter une communication en cours à votre insu.

Or, d’après The Intercept, les communications Zoom adopteraient un autre type de cryptage : le chiffrement de la couche transport. Le protocole de sécurité de la couche transport (TLS) protège le message envoyé entre l’expéditeur et les serveurs de l’application, puis entre lesdits serveurs et le destinataire. Entre les deux, le message peut être intercepté et stocké soit par Zoom, soit par tout intrus accédant aux serveurs de l’application via une faille de sécurité.

Des soucis de confidentialité de plus en plus visibles

Interrogé par The Intercept, l’un des porte-paroles de la société a admis que le service est aujourd’hui incapable de fournir un cryptage de bout en bout :

« Actuellement, il n'est pas possible d'activer le cryptage E2E pour les réunions vidéo de Zoom. Ces dernières utilisent une combinaison des protocoles TCP et UDP. Les connexions TCP sont effectuées à l'aide d’un chiffrement de la couche transport et les connexions UDP sont cryptées à l'aide d'une clé de chiffrement avancé, négociée sur la couche transport ».

Pour clarifier ses propos et l’expression « de bout en bout » employée dans son livre blanc, Zoom Video Communications fait état d’une connexion cryptée uniquement entre les points d'extrémité Zoom. Cela signifie qu’aucune autre personne, en dehors de l’expéditeur et du destinataire, ne peut accéder aux données partagées pendant un appel vidéo sur Zoom. Si ce n’est l'entreprise elle-même.

Malgré sa récente popularité, un certain nombre de problèmes de confidentialité ont été mis en lumière autour de ce service. Comme le partage de données personnelles opéré vers Facebook, depuis son application iOS, et sans le consentement explicite de l'utilisateur. Heureusement, Zoom a récemment supprimé le protocole de transfert des données vers le réseau social.

Dernièrement, un rapport de Bleeping Computer a révélé qu'il était possible pour tout pirate informatique initié de voler des mots de passe utilisateurs, par le biais du client Windows de Zoom.

Via TNW

Anthony Spadafora

After working with the TechRadar Pro team for the last several years, Anthony is now the security and networking editor at Tom’s Guide where he covers everything from data breaches and ransomware gangs to the best way to cover your whole home or business with Wi-Fi. When not writing, you can find him tinkering with PCs and game consoles, managing cables and upgrading his smart home.