La solution de visioconférence Zoom a énormément gagné en notoriété et popularité à la faveur des mesures de confinement prises dans le monde pour lutter contre la pandémie de coronavirus Covid-19.
En l'espace de quelques mois, le nombre de participants quotidiens à des réunions via Zoom a grimpé de 10 millions à plus de 300 millions. La rançon du succès a été une explosion de problèmes de sécurité et confidentialité.
Zoom Video Communications a pris le taureau par les cornes en s'entourant notamment de plusieurs experts renommés dans le domaine de la sécurité informatique. Dans le rapport de Mozilla (*privacy not included) pour les applications d'appels vidéo, Zoom satisfait aux critères de base en matière de sécurité.
Cela concerne les mises à jour de sécurité, la protection par mot de passe fort, la gestion des vulnérabilités ou encore la politique de confidentialité. Pour le chiffrement, il est passé à AES-256-GCM (Galois/Counter Mode) avec une activation pour tous les comptes depuis la fin du mois de mai.
#Update to the most secure version of Zoom by May 30!
— Zoom (@zoom_us) May 28, 2020
➡️ https://t.co/64XvO6YRNs pic.twitter.com/JSlk3OL5EU
Pour autant, il n'y a pas de chiffrement de bout en bout. Un brouillon pour une approche en ce sens a été publié sur GitHub et il s'agit d'un travail en cours.
À Reuters, Alex Stamos, consultant en sécurité chez Zoom et ancien chef de la sécurité de Facebook, a laissé entendre que le renforcement du chiffrement avec du chiffrement de bout en bout concernera les clients payants et des institutions comme les écoles, mais pas les utilisateurs avec des comptes gratuits.
Rien n'est encore gravé dans le marbre. Toutefois, il faut prendre en considération qu'un chiffrement de bout en bout ne permettrait pas à l'équipe de Zoom de s'intercaler et agir en temps réel dans une optique de lutte contre les abus.