Visioconférence sécurisée : Zoom change de division avec le chiffrement de bout en bout
Zoom propose désormais une option de vrai chiffrement de bout en bout. Une avancée qui ne serait qu’un début, promettent les porte-parole de l’éditeur en France. Et qui pourrait déboucher à moyen terme sur des certifications et un Visa de Sécurité.
Zoom a mis le turbo. L’éditeur de visioconférence qui a vu se succéder critiques et polémiques en 2020 a redoublé d’efforts et d’investissements pour renforcer sa sécurité. Le but était de devenir, en 90 jours, un des meilleurs élèves (si ce n’est le meilleur élève) dans ce domaine. Aujourd’hui, soit un an pile après le rachat de Keybase, le résultat est là : Zoom est chiffré de bout en bout.
La fin des points clairs dans Zoom
Plus exactement, il propose cette possibilité. « Nous avons ajouté une option qui permet – par meeting et par participant – de décider si la prochaine réunion est sensible. C’est très granulaire », confirme François Familiari, Sales Engineer Team Lead chez Zoom, dans un entretien avec LeMagIT.
Le chiffrement de bout est accessible dans toutes les versions – gratuites et payantes – de Zoom.
« À partir du moment où vous activez le chiffrement de bout en bout, vous avez la garantie que l'échange restera confidentiel entre les personnes qui participent. »
François FamiliariZoom
« Avec cette première phase, il n’y a plus de clefs de sécurité générée depuis le serveur. Tout est fait depuis les clients », résume François Familiari. « À partir du moment où vous activez le chiffrement de bout en bout, nous garantissons qu’aucun serveur Zoom n’est au courant de la clef de chiffrement de la communication en cours […] Vous avez la garantie que l’échange restera confidentiel entre les personnes qui participaient ».
Mais ce chiffrement de bout en bout – sans point clair sur les serveurs, assure François Familiari – n’est qu’une première phase.
Le chiffrement de bout en bout n’est qu’un début pour Zoom
« L’idée [avec les prochaines phases] c’est d’aller plus loin en termes d’identification des participants et d’identification des appareils au sein de ce chiffrement de bout en bout, de manière à s’assurer que ce sont bien les bons participants avec les bons appareils qui ont bien été conviés », décrit François Familiari.
Les métadonnées en revanche restent dans les mains de Zoom. Elles sont chiffrées, certes, mais avec les clefs de l’éditeur et des mécanismes AWS.
Pourquoi les conserver ? « Pour des services de statistiques ou pour l’analyse de communication, qui se seraient mal déroulées […] À des fins de support, nous avons besoin de certaines métadonnées » justifie François Familiari.
La DINUM change (un peu) d’avis sur Zoom
Zoom insiste aussi sur la possibilité de contrôler le routing des données en transit (c’est-à-dire de sélectionner les nœuds par lesquelles les réunions passent – et donc d’exclure des zones géographiques). Les clients peuvent également choisir la localisation de certaines « données au repos », comme pour les enregistrements de leurs réunions.
Cela ne change rien vis-à-vis du droit américain qui est extraterritorial. En revanche, Zoom mène des réflexions sur la possibilité de laisser les clients amener leurs propres KMS. « Il n’y a pas d’engagement ferme, mais ce sont des pistes que l’on étudie et qui sont évoquées dans le livre blanc », rappelle François Familiari.
Pour le cabinet Enterprise Strategy Group (ESG), le chiffrement de bout en bout conjugué aux autres améliorations de sécurité – font que Zoom changerait de division. Dans un rapport d’avril 2021, ESG considère même qu’il peut être utilisé dans des contextes sensibles comme la santé, la finance, voire par le secteur public.
« Zoom est une plateforme de collaboration sécurisée qui répond aux besoins des organisations ayant les exigences les plus strictes en matière de sécurité et de confidentialité », tranche l’analyste Tony Palmer d’ESG.
Pour Charlotte Nizieux, responsable marketing et porte-parole officielle de Zoom en France, un autre petit signe est très révélateur de ce changement de perception. « Jusqu’ici, la DINUM conseillait de ne pas utiliser Zoom. [Mais] la semaine dernière, elle a retiré cette mention de son site. C’est un très bon signe de confiance en Zoom que nous voyons aussi de plus en plus sur le terrain », assure-t-elle au MagIT.
Reste que les recommandations de la DINUM conseillent toujours d’utiliser des solutions souveraines et « CLOUD Act-free », comme Rainbow ou Starleaf, voire certifiées par l’ANSSI comme Tixeo. Pour aller encore plus loin, Zoom pense-t-il à ce type de certification ?
Objectif certifications et Visa de Sécurité
Oui, répondent les porte-parole de l’éditeur en France.
« La priorité c'est la certification ISO 27001. Nous travaillons aussi avec l'ANSSI. »
Charlotte NizieuxZoom
« Plusieurs travaux sont en cours sur la partie certification », partage François Familiari.
« La priorité c’est la certification ISO 27001 », complète Charlotte Nizieux. « Et nous travaillons aussi avec l’ANSSI », continue-t-elle.
Le Sales Engineer Team Lead confirme : « nous menons des discussions [avec l’Agence, mais] ce sont des choses que nous verrons arriver dans les 12 à 18 mois. Cela prend du temps et des ressources ».
Plus largement, Charlotte Nizieux rappelle que Zoom travaille « en permanence » avec les autorités de certifications et gouvernementales sur les questions de sécurité et de confidentialité.
« Nous sommes confiants », conclut-elle. « C’est du travail, mais cela avance bien ».
Zoom s’enrichit d’une vue immersive et d’un nouveau SDK Le champion de la visio intègre un mode de présentation destinée à créer plus de convivialité dans les réunions. Il sort également un nouveau SDK dans sa conquête des développeurs.
Zoom et Oracle passent un accord « gagnant-gagnant » Zoom redirige désormais son débord de trafic sur OCI et en profite pour travailler son image B2B. Oracle gagne, lui, une référence pour son cloud et un partenaire de premier choix dans la visioconférence.
