Catégories
Actualités Start-Up

La nouvelle approche de cryptage de Zoom est incrémentielle, mais meilleure

Tout comme leurs homologues grand public, les responsables informatiques des entreprises ont afflué vers Zoom pour toutes sortes de réunions. Mais la sécurité a toujours pris le pas sur la commodité et la disponibilité, comme le sait tous ceux qui ont subi un intrus Zoom.

Zoom cette semaine (il n'a pas encore dit exactement quand) déploiera son option de cryptage améliorée. Mais cela se fait au prix d'abandonner diverses fonctionnalités populaires. Et ça le fait aussi ne pas viennent avec une authentification et une identification améliorées des utilisateurs, une capacité que Zoom promet maintenant de fournir dans le courant de 2021.

Zoom décrit son offre de cryptage actuelle comme adéquate, mais pas idéale:

«Cette conception actuelle assure la confidentialité et l'authenticité de tous les flux de données Zoom, mais elle ne fournit pas un cryptage« véritable »de bout en bout (E2E) tel que le comprennent les experts en sécurité, en raison du manque de gestion des clés de bout en bout. Dans l'implémentation actuelle, un adversaire passif qui peut surveiller l'infrastructure des serveurs de Zoom et qui a accès à la mémoire des serveurs Zoom concernés peut être en mesure de contourner le chiffrement. L'adversaire peut observer la clé de réunion partagée (MK), dériver les clés de session et décrypter toutes les données de réunion. La configuration actuelle de Zoom, ainsi que de pratiquement tous les autres produits cloud, repose sur la sécurisation de cette infrastructure afin de garantir la sécurité globale. la sécurité de l'infrastructure Zoom. "

La nouvelle approche facultative qui doit démarrer cette semaine est étiquetée par Zoom comme "un aperçu technique, ce qui signifie que nous sollicitons de manière proactive les commentaires des utilisateurs pendant les 30 premiers jours". Dans cette approche, "les clés de chaque réunion Zoom sont générées par les machines des participants et non par les serveurs de Zoom. Les données chiffrées relayées via les serveurs de Zoom sont indéchiffrables par Zoom, car les serveurs de Zoom ne disposent pas de la clé de déchiffrement nécessaire."

C'est en effet une bonne avancée pour la sécurité, mais cela signifie que plusieurs fonctionnalités populaires de Zoom seront désactivées, notamment la participation avant l'hôte, l'enregistrement dans le cloud, la diffusion en continu, la transcription en direct, les salles de sous-commission, les sondages, le chat privé 1: 1 et les réactions aux réunions. En outre, pour des raisons de clé de chiffrement logique, le nouveau chiffrement ne fonctionne que dans les environnements que Zoom peut contrôler, ce qui signifie le client de bureau Zoom, l'application mobile ou les salles Zoom. (Cela ne fonctionnera pas si l'utilisateur entre via un accès direct au navigateur et certainement pas si quelqu'un compose l'appel.)

Droits d'auteur © 2020 IDG Communications, Inc.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *