Zoom a-t-il trouvé sa caution sécurité avec Keybase ?
Zoom promet, pour le 22 mai, une première implémentation du chiffrement de bout en bout, reposant sur l’acquisition de Keybase.
Comment créer un groupe dynamique de sorte qu’un serveur compromis ne peut pas y ajouter de membres, mais que cela reste possible pour un administrateur ?
Keybase pose la question – parmi d’autres – pour illustrer ses travaux menés depuis 2014 dans le domaine des infrastructures à clés publiques.
L’entreprise effectue cette mise au point dans un contexte particulier : elle vient de se vendre à Zoom.
Le devenir de ses applications n’est pas clair en l’état. Priorité est donnée à la sécurisation du service de visioconférence de son nouveau propriétaire.
Celui-ci promet, pour le 22 mai, une première ébauche de chiffrement de bout de bout… pour les comptes payants.
As Eric’s blog says, we are working on a detailed cryptographic design to be published by May 22nd for public review. This will be an open and transparent design process as Zoom builds something both unique and impactful to the privacy of millions.
— Alex Stamos (@alexstamos) May 7, 2020
Des réunions fermées à clé(s)
À leur connexion à une réunion, les utilisateurs obtiendront une identité cryptographique publique hébergée sur le réseau Zoom. Cette identité permettra d'établir une relation de confiance entre participants.
L'hôte (organisateur) de la réunion créera une clé symétrique éphémère. Laquelle sera distribuée aux clients, encapsulée dans une paire de clés asymétriques et modifiée en cas de changements importants dans la liste des participants.
L'organisateur seul décidera des appareils autorisés à recevoir les clés éphémères. Des mécanismes additionnels d'authentification sont à l'étude.
Zoom prévoit un niveau de sécurité au moins équivalent à celui des messageries « B2C ». Le chiffrement de bout en bout impliquera cependant l'impossibilité d'utiliser certaines fonctions. Notamment :
- Les appels vers les lignes téléphoniques
- L'enregistrement cloud
- L'utilisation de systèmes de téléconférence tiers
Zoom n'a pas attendu d'acquérir Keybase pour avancer sur certains points. La version 5.0 de son application prend en charge le chiffrement AES-GCM 256 bits... mais avec des clés générées sur serveur.
En toile de fond, un plan stratégique de 90 jours lancé début avril. Il doit alimenter une opération « réhabilitation ». Face aux inquiétudes sur la sécurité et la confidentialité du service, de nombreuses organisations en ont déconseillé, voire interdit l'usage.
Illustration © Kentoh - Shutterstock.com
