La priorisation du télétravail en cette période de confinement a incité de nombreux internautes à se tourner vers Zoom, une firme offrant un service de conférence à distance. Cependant, il a été révélé que le chiffrement des appels vidéo utilisé par la firme n’était pas sûr. D’après les experts, les clés de chiffrement risquent ainsi d’être piratées en interne, même si les appels sont codés. Ainsi, des utilisateurs potentiels, dont certains gouvernements et entreprises, ont interdit ou découragé l’utilisation du service.
Suite à ce rebondissement de situation, l’entreprise a décidé de racheter Keybase, une start-up de 25 personnes spécialisée dans la messagerie et le partage de fichiers sécurisés. Son objectif : passer à un chiffrement de bout en bout. Un premier concept sera présenté le 22 mai prochain.
« Cette acquisition marque une étape clé pour Zoom, car nous tentons de créer une plateforme de communication vidéo véritablement privée qui peut s’étendre à des centaines de millions de participants, tout en ayant la flexibilité nécessaire pour soutenir la grande variété d’utilisations de Zoom », a déclaré Eric Yuan, PDG de Zoom, dans un article de blog.
Une nouvelle version plus sûre et sécurisée
Avec la récente version 5.0 de Zoom, la prise en charge de contenu par l’utilisateur est facilitée par la norme industrielle AES-GCM avec des clés de 256 bits. En revanche, les clés de chiffrement pour chaque réunion sont générées par les serveurs de la firme.
Ceux qui souhaitent faire passer la confidentialité avant la compatibilité y trouveront leur compte. Les utilisateurs payants pourront notamment créer des conversations privées en générant eux-mêmes les clés de chiffrement publiques pour chaque événement. L’organisateur de la conférence aura ensuite la possibilité de sélectionner les participants au meeting.
Une option réservée aux vidéoconférences
L’hôte pourra contrôler les secrets cryptographiques de la vidéoconférence, et le logiciel client décidera quels appareils sont autorisés à recevoir les clés de réunion et donc à participer à celle-ci. Et afin de ne prendre aucun risque, la firme travaille sur des mécanismes pouvant permettre aux entreprises des niveaux d’authentification supplémentaires.
Il est à noter que ces nouvelles fonctionnalités ne seront pas disponibles pour les utilisateurs recourant aux conférences téléphoniques. En outre, il sera également impossible d’enregistrer les vidéoconférences chiffrées dans ce mode.