La société de communications vidéo Zoom achète Keybase, fabricant d’un système de messagerie chiffrée et de stockage cloud de bout en bout. Cette acquisition est le premier achat de l’histoire de Zoom.
Avec Keybase, les utilisateurs de Zoom auront la possibilité d’ajouter un chiffrement de bout en bout aux appels vidéo – un développement significatif sur la poussée de sécurité de Zoom sur 90 jours.
Zoom a été critiqué plus tôt cette année pour avoir déclaré que sa plate-forme utilisait un cryptage de bout en bout alors qu’en fait, ce n’était pas le cas. Les pratiques marketing de Zoom suggèrent que la société a utilisé la norme de cryptage AES-256 pour sécuriser les appels vidéo, mais qu’une clé AES-128 de qualité inférieure en mode ECB était en fait utilisée.
Le chiffrement est resté un point focal pour Zoom au cours des dernières semaines et est au premier plan du plan de 90 jours de l’entreprise pour améliorer les capacités de sécurité et de confidentialité de sa plate-forme. Dans un article de blog jeudi, le PDG de Zoom, Eric Yuan, a déclaré que l’acquisition de Keybase permettra à Zoom d’offrir un mode de réunion chiffré de bout en bout à tous les comptes payants.
Les utilisateurs connectés généreront des identités cryptographiques publiques qui sont stockées dans un référentiel sur le réseau de Zoom et peuvent être utilisées pour établir des relations de confiance entre les participants à la réunion. Une clé symétrique éphémère par réunion sera générée par l’hôte de la réunion. Cette clé sera distribuée entre les clients, enveloppée avec les paires de touches asymétriques et tournée en cas de modifications importantes de la liste des participants. Les secrets cryptographiques seront sous le contrôle de l’hôte, et le logiciel client de l’hôte décidera quels appareils sont autorisés à recevoir les clés de la réunion, et ainsi rejoindre la réunion. Nous étudions également des mécanismes qui permettraient aux utilisateurs d’entreprise de fournir des niveaux d’authentification supplémentaires.
Ces réunions chiffrées de bout en bout ne prendront pas en charge les ponts téléphoniques, l’enregistrement dans le cloud ou les systèmes de salle de conférence non Zoom. Les participants à Zoom Rooms et Zoom Phone pourront y assister s’ils sont explicitement autorisés par l’hôte. Les clés de chiffrement seront étroitement contrôlées par l’hôte, qui admettra les participants. Nous pensons que cela offrira une sécurité équivalente ou meilleure que les plates-formes de messagerie chiffrées de bout en bout des consommateurs, mais avec la qualité et l’échelle vidéo qui ont fait de Zoom le choix de plus de 300 millions de participants aux réunions quotidiennes, y compris ceux de certains des plus grands du monde entreprises.
Zoom a été l’un des premiers bénéficiaires du boom de la vidéoconférence stimulé par la nouvelle pandémie de coronavirus, mais les faiblesses de la plate-forme ont été rapidement révélées après que les experts ont découvert des failles de sécurité dans le code de l’application et des problèmes de confidentialité avec la gestion des données des utilisateurs. Face aux critiques croissantes, Yuan a annoncé le 1er avril que la société arrêterait le développement de toutes les nouvelles fonctionnalités de l’application et se concentrerait entièrement sur la sécurité.
Une semaine plus tard, l’entreprise a embauché l’ancien chef de la sécurité de Facebook, Alex Stamos, en tant que consultant externe en sécurité. La mise à jour 5.0 de Zoom est venue, qui a ajouté des capacités de routage de centre de données pour les administrateurs de compte. Cette fonctionnalité était destinée à apaiser les craintes que les chats Zoom et les clés de chiffrement soient envoyés aux serveurs chinois, où les données pourraient être détournées par les services de renseignement chinois.
Pour l’avenir, Zoom a déclaré qu’il publierait un projet de conception cryptographique le 22 mai, puis solliciterait les commentaires des experts en cryptographie et des clients avant de définir une conception finale et de la proposer aux utilisateurs de Zoom. Zoom a également promis de ne pas créer de mécanisme pour décrypter les réunions en direct pour une interception légale, ni de créer des portes dérobées cryptographiques qui permettraient à la société d’insérer secrètement des personnes dans les réunions.