Pendant la présentation de Zoom lors de la RSA Conference 2021, la discussion s’est focalisée sur le chiffrement de bout en bout de Zoom Cloud Meetings. L’entreprise a expliqué pourquoi c’est si important pour les développeurs de se pencher sur ce sujet, comment ils prévoient de rendre les appels plus sécurisés et quelles sont les nouvelles fonctionnalités liées à la sécurité auxquelles les utilisateurs doivent s’attendre.
Un peu d’histoire
La pandémie a obligé bon nombre d’entre nous à passer au télétravail à long terme et par conséquent à utiliser des logiciels de visioconférence afin de communiquer avec nos collègues ou avec nos proches. La popularité de Zoom a attiré l’attention des experts en sécurité mais aussi des cybercriminels, ce qui a permis à de nombreuses personnes de trouver bon nombre de défauts en ce qui concerne la sécurité de la plateforme. Par exemple, il a été prouvé que le logiciel contenait des vulnérabilités qui ont permis aux cybercriminels d’espionner les utilisateurs via leur caméra et leur microphone, et les intrusions effectuées par les trolls ont même leur propre nom : le Zoombombing. La réponse de Zoom a été rapide et de grande portée, mais le problème n’était pas entièrement réglé.
L’un des reproches principal que l’on pourrait faire à propos de Zoom, c’est que la plateforme utilisait un chiffrement point à point (P2PE) et non un chiffrement de bout en bout (E2EE).
E2EE vs. P2PE
À première vue, les deux systèmes peuvent sembler similaires car tous deux chiffrent les données que les utilisateurs échangent. Mais avec le chiffrement P2PE, le serveur peut avoir accès aux messages des utilisateurs alors que le chiffrement E2EE chiffre les informations sur le dispositif de l’expéditeur et les déchiffre uniquement sur celui du destinataire. Cependant, cela peut également créer des problèmes, et c’est sur ces derniers que les développeurs de Zoom se sont centrés lors de la conférence :
- Les cybercriminels peuvent s’infiltrer dans le serveur, voler les clés de chiffrement qui y sont stockées et participer à des réunions en tant que vrais invités ou bien usurper leurs messages ;
- Des employés opportunistes du fournisseur de Cloud ou de Zoom lui-même peuvent avoir accès aux clés et voler les données des utilisateurs.
Personne ne veut que leurs conversations privées avec la famille ou des amis et surtout les conversations secrètes d’affaires soient rendues publiques. De plus, si un pirate informatique devait utiliser les clés volées pour espionner passivement les utilisateurs, ce serait très difficile à détecter.
Avec le chiffrement E2EE, vous n’avez pas ce problème car ce procédé stocke les clés uniquement sur le dispositif de l’utilisateur. Cela signifie que si quelqu’un pirate le serveur, l’intrus ne pourrait pas écouter clandestinement les visioconférences.
Naturellement, de nombreux utilisateurs attendaient depuis longtemps que Zoom passe au chiffrement E2EE qui avait déjà été adopté par de nombreuses applications de messagerie.
Le chiffrement de bout en bout sur Zoom à l’heure actuelle
Les développeurs ont écouté les critiques et ont pris des mesures afin d’améliorer la sécurité de la plateforme en intégrant même le chiffrement E2EE.
Zoom utilise le chiffrement de bout en bout pour les appels audio et vidéo ainsi que les discussions depuis l’automne 2020. Lorsqu’il est activé, les données des participants sont protégées grâce à la fameuse clé de chiffrement. Cette dernière n’est pas stockée sur les serveurs de Zoom, ce qui fait que même les développeurs ne peuvent pas déchiffrer le contenu des conversations. Tout ce que la plateforme stocke en déchiffré ce sont les noms d’utilisateurs et certaines métadonnées telles que la durée des appels.
Afin de bloquer les connexions externes, les développeurs ont également incorporé la fonction Heartbeat, un signal que cette célèbre application de messagerie envoie automatiquement aux utilisateurs. Ce dernier contient entre autres une liste des participants auxquels l’organisateur de la réunion a envoyé la clé de chiffrement actuelle. Si une personne non présente dans la liste rejoint la réunion, chaque participant saura immédiatement qu’il y a quelque chose qui cloche.
De plus, en verrouillant la réunion (grâce à la fonctionnalité Verrouiller la réunion) une fois que tous les participants invités sont présents, vous pouvez également empêcher tout nouveau participant de la rejoindre. Vous devez le faire manuellement, mais une fois que cette fonctionnalité est activée, personne d’autre ne peut rejoindre la réunion, même s’ils possèdent l’ID et le mot de passe de celle-ci.
Zoom protège également contre les attaques dites de l’homme du milieu (man-in-the-middle attacks) grâce au chiffrement par substitution. Pour s’assurer que personne n’est en train d’espionner, l’organisateur de la réunion peut à tout moment générer un code de sécurité basé sur la clé de chiffrement de la réunion actuelle en cliquant sur un bouton. Il s’agit d’un code qui est également généré automatiquement pour les autres participants de la réunion. L’organisateur doit lire ce dernier à voix haute, et si les autres ont le même, alors cela signifie qu’ils utilisent la même clé et qu’il n’y a pas à s’en faire.
Pour finir, si l’organisateur de la réunion la quitte et que quelqu’un d’autre le remplace, l’application signale ce changement. Si certains participants ont des doutes, ils peuvent interrompre n’importe quelle discussion top-secrète afin de régler le problème.
Bien entendu, si vous faites juste une réunion normale entre amis, vous n’avez probablement pas besoin d’activer tous ces paramètres de sécurité. Mais lorsqu’il est question de secrets d’entreprise (ou autres), ces fonctionnalités peuvent s’avérer grandement utiles. Par conséquent, les intervenants qui participent à ces réunions importantes doivent les connaître et savoir comment s’en servir.
Malgré les nombreux progrès, les développeurs de Zoom sont conscients qu’il leur reste encore du travail. Lors de la RSA Conference 2021, ils ont également mis l’accent sur l’évolution de la plateforme.
Ce que le future réserve à Zoom
Les développeurs de la plateforme ont identifié un certain nombre de menaces pour lesquelles ils doivent encore mettre en place des contre-mesures efficaces. D’une part, il y a le problème des intrusions dans les réunions par des personnes se faisant passer pour des utilisateurs invités. D’autre part, le chiffrement E2EE n’empêche pas les cybercriminels d’être en possession de certaines métadonnées telles que la durée de l’appel, le nom des participants et les adresses IP. Les vulnérabilités dans le programme présentent également des risques : les cybercriminels peuvent ajouter un code malveillant.
En tenant compte de ces menaces, les développeurs de Zoom ont fait une liste de leurs objectifs :
- Faire en sorte que seuls les participants invités et acceptés peuvent avoir accès aux évènements ;
- Empêcher que les participants expulsés de la réunion ne puissent s’y reconnecter ;
- Éviter les interférences provenant des participants non invités à la réunion ;
- Permettre aux participants de bonne foi de signaler les abus à l’équipe de sécurité de Zoom.
Plan d’action
Pour atteindre ces objectifs, les développeurs ont conçu un plan en quatre étapes.
La première étape a déjà été mise en place. En effet, comme mentionné ci-dessus, ils ont apporté des modifications au système pour faire en sorte que la clé de chiffrement ne soit stockée que sur le dispositif de l’utilisateur. Ils ont également amélioré les méthodes de protection contre les intrus qui rejoignent les réunions.
Pour la deuxième étape, ils prévoient d’utiliser une méthode d’authentification utilisateur qui ne dépend pas des serveurs de Zoom mais qui sera basée sur l’authentification unique (single sign-on, SSO) impliquant des fournisseurs d’identité indépendants (IDPs).
Par conséquent, un intrus potentiel ne peut pas se faire passer pour un utilisateur, même en prenant le contrôle des serveurs de la plateforme. Si une personne rejoint une réunion en prétendant être un invité mais avec une nouvelle clé publique, les autres participants seront alertés de la menace potentielle.
La troisième étape introduira le concept d’arbre binaire qui permettra de stocker toutes les identités au sein d’une structure de données authentifiées et vérifiables afin de s’assurer que tous les utilisateurs ont une vue cohérente sur n’importe quelle identité et qu’ils puissent détecter les attaques par usurpation d’identité. Ici, l’objectif de Zoom est de renforcer la protection de la plateforme des attaques dites de l’homme du milieu (man-in-the-middle).
Pour la quatrième et dernière étape, les développeurs prévoient de faciliter le processus de vérification d’une identité lorsqu’un utilisateur se connecte depuis un nouvel appareil. Pour associer un nouveau dispositif, l’utilisateur devra confirmer sa légitimité en scannant par exemple le code QR qui sera affiché sur l’écran d’un téléphone ou d’un ordinateur de confiance. Ainsi, un cybercriminel ne pourra pas associer un appareil à un compte qui ne lui appartient pas.
Une sécurité sans sacrifice
Lorsqu’on met en place des mécanismes de sécurité supplémentaires, il faut évaluer l’impact qu’ils auront sur les utilisateurs ordinaires, ce que les développeurs de Zoom prennent en compte. Par exemple, l’une des innovations proposées consiste à utiliser le Cloud des dispositifs personnels des utilisateurs. Cela permettra d’associer un compte à de nouveaux appareils plus facilement tout en garantissant sa protection.
Par exemple, si vous utilisez habituellement Zoom sur votre ordinateur pour passer des appels mais qu’ensuite vous vous y connectez à partir de votre téléphone, la prochaine fois que vous ouvrirez Zoom sur votre ordinateur, ce dernier vous notifiera de la connexion à partir de ce nouvel appareil. Si vous approuvez cette connexion, les deux dispositifs seront associés au même Cloud et les autres participants sauront qu’il s’agit de vous et non d’un intrus.
Une plateforme Cloud vous permet également de vérifier quels sont les appareils associés à votre compte et de dissocier ceux dont vous vous méfiez. De plus, les développeurs prévoient également d’ajouter une option qui permettra de passer au chiffrement de bout en bout en plein milieu de la réunion ainsi que de nombreuses autres fonctions.
Est-ce que Zoom sera plus sécurisé?
En bref, oui, car la sécurité de la plateforme est en voie de développement. Elle a déjà fait du bon travail pour prévenir le piratage informatique et prévoit encore quelques améliorations en matière de sécurité. Par ailleurs, on apprécie le fait que Zoom tente de combiner la sécurité avec la facilité d’utilisation.
Bien entendu, le plus gros dépend des utilisateurs de Zoom. Comme avec tout ce qui est en rapport avec l’informatique, pour manipuler le système de visioconférence il faut faire preuve de bon sens et dconnaître les mécanismes de protection. Il est primordial de tenir compte des avertissements partagés par la plateforme et de s’abstenir de communiquer des informations confidentielles si quelque chose vous paraît louche et qu’une fuite de données est envisageable.