Sécurité, confidentialité, chiffrement : gros plan sur Zoom

Zoom défend sa sécurité

LeMagIT : Plusieurs organisations ont décidé de bannir Zoom au motif qu’il n’était pas assez sécurisé. Que répondez-vous sur ce point : Zoom est-il sûr ?

Loïc Rousseau : Nous avons vécu des moments délicats. Mais le vrai débat sur la sécurité a été le SDK de Facebook qui collectait des infos à notre insu, et uniquement sur iOS. C’est là que tout a commencé. On a supprimé ce SDK en moins de 24 h. Mais cela a fait énormément de bruit.

Sur le chiffrement, on nous a critiqués pour notre terminologie marketing – qui indiquait « end to end » – plutôt que sur le fond de notre sécurité. Puis cela aussi a été monté en épingle.

Comme ces sujets sont primordiaux pour nous, nous avons réagi en mettant en pause tous les développements de nouvelles fonctionnalités pour nous concentrer à 100 % sur un plan de sécurité à 90 jours, avec notamment le chiffrement AES 256 GCM (quand bon nombre de nos concurrents sont en 128). Nous avons aussi recruté Katie Moussouris et Alex Stamos. 

Mais tout cela a fait du bruit parce qu’on a bien voulu s’en faire écho.

LeMagIT : Vous pensez qu’il y a eu une campagne savamment orchestrée contre Zoom ?

« Des rapports disent que nos concurrents ne sont pas meilleurs élèves que nous en sécurité, mais personne ne parle d’eux. »

Loïc Rousseau : Je ne suis pas dans le secret des Dieux. Je ne veux pas faire de diffamation. Mais quand on voit aujourd’hui que des rapports disent que Microsoft, Google et Cisco ne sont pas meilleurs élèves que nous, qu’ils ont des failles par centaines, et que personne n’en parle…

Je vais vous dire ce qui me choque vraiment. L’affaire du SDK de Facebook, on l’a apprise, nous, par la presse. Or normalement, cela ne fonctionne pas comme cela. Il y a des bug bounty qui font leur travail. Et quand ils trouvent une faille, ils viennent sonner à la porte des éditeurs et ils demandent X milliers de dollars. On se met d’accord sur un prix, sur un délai, on répare la faille et après, ils communiquent.

Là, la faille est arrivée directement dans la presse. On est quand même en droit de se poser des questions. Pourquoi n’a-t-on pas été logés à la même enseigne ? Nous, à chaque fois c’est directement dans la presse.

Donc oui, sans vouloir faire Calimero, on a dérangé – parce que les utilisateurs plébiscitent notre outil (UI zéro défaut, Shadow IT).

LeMagIT : Vous suspectez donc que ces recherches de failles aient été financées par la concurrence ? Vous ne le dites pas aussi clairement, mais ce que l’on comprend entre les lignes.

Loïc Rousseau : À moins qu’il y ait des bug bounty qui travaillent bénévolement… mais personnellement, je n’y crois pas. En tout cas, il y a suspicion.

J’ajoute que, comme l’a dit notre PDG, nos concurrents nous ont attaqués pile pendant une période de crise sanitaire mondiale sans précédent. C’est petit.

Mais je suis fier de notre réaction, en un temps aussi court, qui montre que l’on est responsable.

LeMagIT : Certes, mais lorsque l’on discute avec des responsables IT, cette campagne a tout de même l’air d’avoir marqué les esprits. « Calomniez, il en restera toujours quelque chose », écrivait le philosophe Francis Bacon. Le constatez-vous dans vos négociations actuelles sur le marché français ou pas du tout ?

Loïc Rousseau : Certaines entreprises nous ont bannis en interne. Elles ne sont pas nombreuses non plus, mais cela a posé des problèmes quand elles ont dû discuter en visio avec des groupes du CAC 40 clients chez nous. Elles leur ont dit « on ne peut pas rejoindre la conf ».

Mais j’insiste, nous n’avions pas de failles de sécurité ! 

Pour vous répondre clairement, les discussions [en France] n’ont pas été plus difficiles. Elles ont été moins nombreuses. C’est un fait. On a eu trois semaines d’euphorie [au début du confinement]. Puis trois semaines de baisse d’euphorie. Mais on a aussi beaucoup de clients qui nous ont soutenus.

J’ai reçu des messages de responsables qui me disaient qu’ils n’étaient pas dupes. Il y a même un CTO du CAC 40 qui m’a dit « mais qu’est-ce que vous faites avec votre communication ?!? Vous ne pouvez pas ne pas réagir. Votre sécurité ne pose aucun problème ».

Pas de chiffrement de bout en bout

LeMagIT : Je voudrais quand même revenir sur le sujet qui fâche : le chiffrement de bout en bout. Quand on regarde dans le détail, ce qui est plutôt positif pour Zoom, c’est qu’aucun de vos concurrents – Cisco WebEx, Microsoft Teams, Google Meet, Lifesize, BlueJeans – aucun n’est chiffré de bout en bout.

Ce qui est moins positif, c’est que même si les autres ne sont pas bons là-dessus, vous ne l’êtes pas trop non plus. Que dites-vous sur ces « points clairs » sur vos serveurs : ce n’est pas grave ? C’est monté en épingle par la presse ? Ou il y a un problème que vous prenez en compte ?

Loïc Rousseau : Alors déjà le CERT est revenu vers nous pour faire un point plus poussé sur notre solution. Nous nous en félicitons.

« Nous avons les clefs de chiffrement. Mais, c’est pareil pour tout le monde ! »

Sur le bout en bout, je vous confirme que ce n’est pas possible dès que l’on est plus de deux. L’essence même d’une visio c’est que l’on soit plusieurs et joignables par tout le monde. Or dès qu’un portable rentre dans la salle, il n’y a plus de chiffrement.

LeMagIT : Oui, mais même si nous sommes tous sur l’application Zoom, les flux sont en clair sur vos serveurs… comme ils sont en clair sur les serveurs de Microsoft, Cisco ou Google…

Loïc Rousseau : Oui. Pour hoster les réunions à plusieurs, nous avons les clefs de chiffrement. On ne peut pas faire du chiffrement de bout en bout. Mais comme vous venez de le dire, c’est pareil pour tout le monde ! Sinon, c’est du point à point, et il n’y a plus de réunion mais du face à face.

LeMagIT : Sur les enregistrements de conférences, le client peut-il gérer lui-même ses clefs ou avoir ses archives chez lui, de telle sorte que Zoom n’ait pas accès à ses contenus ?

Loïc Rousseau : Oui, on peut enregistrer soit dans le cloud, soit sur son ordinateur. Et on peut même désactiver cette fonctionnalité dans la plateforme.

CLOUD Act et espionnage industriel

LeMagIT : La question centrale sur ces histoires de chiffrement de bout en bout concerne évidemment les conversations hautement confidentielles (comme celles du Président de la République ou des députés), le CLOUD Act, le Patriot Act, l’espionnage industriel. D’après vous, ces points clairs peuvent-ils être des portes d’entrée pour des attaques ou des écoutes ?

Loïc Rousseau : Non. Les données que nous échangeons en ce moment [N.D.R. : ITW réalisée sous Zoom] sont des données en transit. Une fois que la réunion est terminée, on ne garde rien. Il n’y a plus rien à récupérer [N.D.R. : à part des métadonnées comme les adresses IP en cas d’enquêtes].

LeMagIT : Et au moment où la réunion se déroule ? Peut-on faire une écoute légale ?

Loïc Rousseau : Non, on ne peut pas. Vous imaginez le nombre de réunions qu’il y a sur les serveurs de Zoom ? Il faudrait qu’il y ait quelqu’un de chez nous qui se connecte à une réunion – et surtout qu’il sache de quelle réunion il s’agit parmi les millions que l’on gère par jour. C’est impossible.

Benjamin Netanyahou utilise Zoom. Emmanuel Macron aussi [N.D.R. : lors d’une réunion avec l’OMS]. Boris Johnson également. Si Zoom n’était pas sécurisé, ils ne le feraient pas. Ils prendraient le téléphone rouge, noir ou vert. Si nous n’étions pas sécurisés, nous n’aurions pas droit de citer chez HSBC ou Sanofi. Il y a même des entités très sensibles d’Airbus qui utilisent Zoom. Et puis Airbus… comment dire ? Ils sont déjà chez Google [N.D.R. : G Suite].

LeMagIT : Ce qui ne manque pas d’étonner plus d’un observateur. Mais donc pour vous, il n’y a pas de lien possible entre un point clair en visioconférence et la réalisation d’une requête du CLOUD Act ou du Patriot Act ?

Loïc Rousseau : Non. De toute façon notre CEO n’acceptera jamais cela – comme bon nombre d’entreprises qui ont contré ces demandes par des moyens divers et variés.

« De mon point de vue, les enquêtes passeront plus par la messagerie que par la visioconférence. »

Et une fois de plus, la traçabilité de « qui organise quoi » au milieu des millions de réunions est impossible. Ce serait chercher une aiguille dans une meule de foin.

J’ai une anecdote [sur ce sujet de la loi américaine]. Je discutais récemment avec un DSI d’un grand groupe français. Après tout le bashing que nous avons subi, son PDG lui a demandé de regarder Zoom en détail, d’évaluer notre sécurité. Donc il l’a fait. Mais il m’a raconté qu’il avait aussi dit à son PDG : « de toute manière, à partir du moment où nous sommes sur Microsoft Outlook, on peut aller sur Zoom… ».

De mon point de vue, les enquêtes [du CLOUD Act et du Patriot Act] passeront plus par la messagerie que par la visioconférence. Mais encore une fois, bien que ce soit un concurrent, je ne crois pas que Microsoft acceptera cela. En tout cas, j’ai envie d’y croire.