Confidentialité des réunions : le doute plane (aussi) sur Google Meet

Tout gratuit, jusqu’à septembre

Pourtant pas en reste avec 100 millions d’usagers quotidiens (une multiplication par 30 depuis janvier 2020), Google a non seulement annoncé la gratuité de Meet pour les particuliers et les écoles (qui utilisent G Suite for Education) mais aussi pour les entreprises. Une manière de contre-attaquer dans la bataille des « visios », après avoir banni Zoom en interne début avril.

La gratuité pour les entreprises est prévue jusqu’au 30 septembre. Après cette date, les réunions des particuliers seront, elles, limitées à 60 minutes.

À cette occasion, Google propose une version « essentielle » de G Suite pour les organisations qui ne sont pas (encore) clientes. Leurs collaborateurs pourront ainsi accéder à Google Drive, Sheets, Docs, Slides en plus de Meet et de ses « fonctionnalités avancées » (partage d’écran, légende en temps réel en anglais, mode responsive, vue en mosaïque étendue). Cette version de G Suite est également gratuite jusqu’à la fin du mois de septembre.

Pour les clients de G Suite (ils sont 6 millions) qui n’auraient pas la licence Meet, ils peuvent suivre les instructions décrites dans le centre d’aide pour l’activer.

Les services de visioconférence disponibles sur le marché (Zoom, Teams, WebEx, BlueJeans, etc.) apportent déjà peu ou prou des fonctionnalités similaires à Google Meet. Google tente donc de se différencier en mettant en avant des arguments de gestion d’accès, de cybersécurité et de confidentialité. Il faut dire que les déboires de Zoom en la matière lui ouvrent une voie royale. En apparence.

Google vante sa sécurité et montre ses galons

Le fournisseur explique que son service maison de visioconférence offre de nombreuses fonctionnalités de gestion d’accès à l’organisateur des réunions. Lui seul peut autoriser l’entrée de nouveaux participants. Quant aux participants, ils doivent être invités 15 minutes avant le début d’une visioconférence et il est possible de bannir ou de passer en mode silence un participant lors d’une conversation. De plus, une salle de réunion ne reste pas ouverte après le départ de son organisateur.

Pour protéger le mot de passe des utilisateurs, Google propose également en option une authentification à double facteur. Celle-ci peut coupler un mot de passe à confirmer par un code reçu sur un numéro mobile ou en utilisant une clef de sécurité physique.

Pour éviter les intrusions en force brute par supposition, Google estime que ses ID – qui utilisent des codes de 10 caractères avec 25 caractères dans le jeu – sont résistantes. Le fait de ne pas utiliser de plug-ins sur le Web permettrait aussi de réduire la surface d’attaque.

Google met enfin en avant que Google Meet répond aux standards de sécurité édictés par l’IETF (Internet Engineering Task Force).

La documentation disponible sur le site de Google précise par ailleurs que le service professionnel bénéficie des normes DTLS (Data Transport Layer Security) et SRTP (Secure Real-Time Transport Protocol). Ces deux composants doivent permettre le chiffrement des données en temps réel et fournir un système d’anti-rejeu. « Pour chaque personne et pour chaque réunion, Meet génère une clef de chiffrement unique, qui ne vit que le temps nécessaire à la réunion, n’est jamais stockée sur disque et est transmise dans un RPC (Remote Procedure Call) chiffré et sécurisé lors de la mise en place de la session », explique le billet du blog de Google Cloud.

Le service de visioconférence bénéficie également de la protection native de l’infrastructure « Secure by design » du géant du cloud et des certifications indépendantes : SOC, ISO 27001/17/18, FedRAMP et HITRUST. Google dit également respecter les régulations sur la protection des données : HIPAA, RGPD, COPPA et FERPA.

Mais des questions importantes subsistent.

Pas de chiffrement de bout en bout

Tous ces arguments alignés les uns après les autres semblent autant de bons points pour mettre en confiance les utilisateurs. Toutefois, des éléments soulèvent des questions et invitent à la prudence, surtout pour des échanges vidéo critiques.

Premier point, Google mentionne le fait qu’il chiffre les données en transit et au repos (en cas d’enregistrement des réunions). Fort logiquement, Google rappelle au passage que les interventions téléphoniques dans la version payante de Meet ne peuvent pas être chiffrées.

Mais il ne précise pas s’il chiffre Google Meet de bout en bout (« end to end encryption »).

Contacté par la rédaction, Google n’a pas apporté de réponse claire. Tout comme il n’a pas répondu clairement à une question sur le sujet, postée le 7 avril, sur son forum officiel.

« Dans Google Meet, toutes les données sont chiffrées en transit par défaut entre le client et Google [N.D.R. : c’est nous qui soulignons] pour les réunions vidéo sur un navigateur web, sur les applications Android et iOS, et dans les salles de réunion équipées de matériel Google », répond la documentation officielle que Google communique en réponse à ces questions.

En clair, Google répète que ses visioconférences sont chiffrées en transit jusqu’à ses serveurs.

Et après, sur ses serveurs ? Pour avoir la réponse, il faut se tourner vers… la NSA.

Selon un document de l’agence américaine de renseignements, Google Meet n’est tout simplement pas chiffré de bout en bout – ce que l’autorité de protection des données personnelles hollandaises confirme dans un autre comparatif (ligne « end-to-end versleuteling »).

Pas de gestion des clefs par le client

Google a raison de jouer la carte de la sécurité et de parler chiffrement. Mais sur ce « bout en bout » – qui a valu des volées de bois verts à Zoom – il propose une offre similaire à Teams ou, donc, à Zoom. Il ne s’agit pas de lui jeter la pierre, mais il est étonnant que Google se refuse à formuler une réponse simple à cette question simple. 

Deuxième point, Google ne propose pas de gestion de clefs de chiffrement par les clients pour G Suite. Les réunions enregistrées sont chiffrées au repos, mais c’est Google qui en gère la clef. Là encore, les autres éditeurs ne font pas mieux. Mais le point mérite d’être relevé pour modérer les affirmations de Google sur sa gestion optimale de la confidentialité.

Troisième point à ne pas oublier, en tant qu’éditeur américain, Google est soumis au CLOUD Act et au Patriot Act. Google Meet également donc. Ce qui invitera, dans les industries critiques, à redoubler de vigilance sur ces questions du chiffrement intégral et de la gestion des clefs.

Interpellé sur ce point légal par LeMagIT, là encore Google se montre évasif. « Comme d’autres entreprises de technologie et de communication, Google reçoit des demandes de gouvernements et de tribunaux du monde entier pour divulguer des données sur ses clients. Google s’engage à maintenir la confiance de ses clients en faisant preuve de transparence sur la façon dont nous répondons à ces demandes et en défendant vigoureusement la confidentialité des données des clients », tente de rassurer un porte-parole du groupe en France, reprenant des éléments de langages bien calibrés. Sans préciser en quoi consiste techniquement et concrètement cette « défense vigoureuse ».