Zoom Phone a aussi le droit au chiffrement de bout en bout

E2EE : les utilisateurs des Breakout Rooms devront attendre

Malheureusement pour les utilisateurs de l’option Breakout Room, il faudra attendre la mise en place d’un correctif. Dans une note de mise à jour éditée le 20 juillet, Zoom précise que le support du chiffrement bout en bout, pour ses salles de réunion, a été retiré de cette version « à cause de problèmes de déploiement ».

Aussi, la fonctionnalité E2EE de Zoom Phone n’est pas encore supportée par les Zoom Rooms – le système de gestion d’équipements de salles de réunion – ainsi que par le client Web. Quant aux téléphones PSTN (branchés sur le réseau cuivre RTC), ils ne sont pas concernés par cette capacité et ne le seront pas pour des raisons de sécurité.

En clair, les utilisateurs de Zoom Phone peuvent disposer du chiffrement de bout en bout depuis le client lourd sur ordinateur et l’application mobile de Zoom Phone.

Pour activer l’E2EE, les propriétaires ou les administrateurs de comptes Pro, Business ou Enterprise peuvent se rendre sur le portail Web du service de VoIP. L’option peut être déployée en quelques clics au niveau d’un compte, d’un site, d’un groupe ou par utilisateur.

Pour les usagers, il suffit de cliquer le bouton « Plus » afin d’accéder à ce mécanisme.

Comme souvent, le chiffrement de bout en bout empêche l’usage d’un certain nombre de fonctionnalités, dont la musique d’attente, le partage de ligne, le transfert d’appels, le passage d’une connexion Wifi/Ethernet à un réseau cellulaire, l’écoute ou encore l’enregistrement d’appels.

En outre, dans un premier temps, les appels ne peuvent être passés qu’entre utilisateurs rattachés à un même compte Pro, Business ou Enterprise. « Cela simplifie grandement le protocole », précise la version 3.3 du livre blanc « E2E Encryption for Zoom Meetings » mise à jour le 18 juillet 2022.

Zoom applique sa feuille de route

Sous le capot, Zoom applique pour l’instant les mêmes mécanismes utilisés pour le chiffrement E2EE des visioconférences avec Meetings ; ceux reposant sur la librairie open source libsodium.

Pour les appels audio et vidéo, les clients desktop et mobile de Zoom Phone sont protégés via le protocole SRTP associé à l’algorithme AES 256 bits. Les appels vocaux employant le protocole de signalement SIP entre le client et le serveur à travers un tunnel TLS 1.2 couplé au même algorithme ne peuvent être protégés avec le chiffrement de bout en bout.

L’éditeur a mis en place un système de cryptographie asymétrique où une clé publique est générée par l’hôte, puis lue par la clé privée associée au client du correspondant. Au centre, une instance KMS (Key Management System), isolée du routeur MMR (responsable de la diffusion des flux médias N.D.L.R.), administre l’acheminement des clés entre les clients. « Lorsqu’il est activé, E2EE prévoit que l’appel est chiffré à l’aide de clés cryptographiques connues uniquement des appareils de l’appelant et du destinataire », rappelle dans un blog Max Krohn, responsable de l’ingénierie de la sécurité chez Zoom.

Quand la fonction sera disponible avec les Breakouts Rooms, Max Krohn assure que les utilisateurs profiteront de la « même expérience ». À la différence que chaque salle dispose de sa propre clé de chiffrement. Cela peut expliquer les soucis rencontrés par l’éditeur : il doit gérer les échanges de clés entre plusieurs sous-groupes d’une réunion principale.

Dans tous les cas, la méthode de vérification du chiffrement des conversations demeure manuelle. Les participants peuvent se partager un code de sécurité unique à voix haute ou à travers un autre mode de communication. Si le code n’est pas identique, alors l’appel n’est pas protégé et il vaut mieux raccrocher, selon l’éditeur. Ce n’est pas la solution idéale et le problème ne sera résolu que dans la phase deux (sur quatre) de la stratégie cryptographique de Zoom, précisent les auteurs du livre blanc. Cette deuxième phase a débuté l’année dernière, tandis que la phase 1 prend fin avec l'intégration du chiffrement de bout en bout dans les Breakout Rooms.

Le support du chiffrement E2EE de Zoom Phone avec les Zoom Rooms et des appareils de réunion est d’emblée plus complexe. La plupart des équipements compatibles avec les Zoom Rooms prennent en charge par défaut la norme AES 128 bits, tandis que l’éditeur réclame d’opter pour l’algorithme AES GCM 256. Les entreprises doivent donc mettre à jour leurs appareils ou en changer s’ils ne supportent pas ce protocole. Aussi, les interactions entre les clients desktops et les équipements comme les Smart TV semblent plus longs à mettre en place. L’éditeur doit faire en sorte de sécuriser les interactions entre Zoom Room, ses contrôleurs et Zoom Phone.

À noter que la documentation de l’éditeur fait bien mention d’une préversion technique pour un chiffrement bout en bout des réunions avec les Zoom Rooms dès la version 5.2.2 du système, disponible depuis le 26 octobre 2020.

Auprès du MagIT, l'éditeur confirme la disponibilité de l'E2EE pour les réunions dans les Zoom Rooms, et ce, depuis la version 5.5.0 du client Zoom. Cette compatibilité n'est signalée que par une petite note, tandis que le reste de la documentation ne fait pas mention d'une sortie de la préversion technique terminée depuis la version 5.4.0 de l'application Zoom Rooms.

Il n’en reste pas moins qu’après les critiques concernant sa gestion des incidents de sécurité, ses (gros) problèmes de communications relatifs au chiffrement et la croissance du Zoom Bombing lors du confinement, Zoom a amplement relevé son dispositif de sécurité.

Article mis à jour le 28 juillet avec les précisions de Zoom au sujet du support du chiffrement de bout en bout dans les Zoom Rooms et de la phase 2 de la stratégie cryptographique.