Propulsé sous le feu des projecteurs à cause du confinement et de l’essor des visioconférences, Zoom est critiqué de toute part. Quelques mois après la faille de sécurité majeure liée à son app macOS, quelques jours après une polémique concernant l’app iOS qui partageait trop de données avec Facebook et alors que son app macOS est critiquée pour ses méthodes d’installation, on apprend aujourd’hui que ses flux vidéo ne sont pas chiffrés de bout en bout, contrairement à ce que Zoom prétend.

C’est le site The Intercept qui a mené l’enquête et obtenu une confirmation de la part de Zoom que les flux audio et vidéo réalisés avec le service n’étaient pas chiffrés de bout en bout. Pourtant, c’est explicitement ce que le site officiel met en avant sur cette page dédiée à la sécurité, en évoquant la possibilité en option de « Sécuriser une réunion avec un chiffrement de bout en bout ». Quand cette option est activée, un cadenas est affiché dans un coin de l’interface pendant une visioconférence et au survol de la souris, un message confirme que tout est chiffré de bout en bout.

Difficile, en théorie, d’être plus explicite que cela. Mais pas pour Zoom qui a inventé sa propre définition du chiffrement de bout en bout. Dans sa réponse au site, l’entreprise explique : « Quand nous utilisons l’expression de bout en bout […] c’est en référence à la connexion qui est chiffrée d’une destination¹ Zoom à une autre. » Sauf que cette « destination » peut aussi être le serveur qui fait le relai entre deux clients Zoom.

Disons les choses comme elles sont : il ne s’agit pas d’un chiffrement de bout en bout, c’est un simple chiffrement. La communication entre votre ordinateur, tablette ou smartphone et le serveur de Zoom est chiffrée et un tiers ne peut pas y accéder à votre insu. Pareil entre le serveur et l’appareil de votre interlocuteur, les flux sont également chiffrés, tout comme c’est le cas pour les informations transmises par un site web sécurisé en https. C’est exactement le même principe et d’ailleurs Zoom utilise TLS, le même protocole de sécurité utilisé entre les serveurs des sites web et les navigateurs.

Un chiffrement de bout en bout reste en place sur toute la chaîne, y compris sur le serveur placé comme intermédiaire. Dans cette configuration, personne ne peut déchiffrer le flux entre les deux, y compris sur le serveur qui ne sert qu’en guise de relai. Alors qu’avec le chiffrement simple proposé par Zoom, la vidéo comme l’audio ne sont pas chiffrés sur le serveur et n’importe quel employé pourrait y accéder. Au contraire de FaceTime, qui est vraiment chiffré de bout en bout, et qui permet de communiquer en ayant la certitude que seuls les participants verront et entendront la conversation.

Pourquoi est-ce que Zoom ne propose pas de chiffrement de bout en bout ? Parce que le service réalise une partie du travail sur le serveur plutôt que côté client. En particulier, la détection de la personne qui parle pour la mettre en avant est faite sur les serveurs de l’entreprise. Cette approche a des avantages indéniables, la simplicité qui a fait le succès de Zoom est sans conteste lié à ce choix. La possibilité d’utiliser le service dans un simple navigateur web, aussi.

Mais si le flux n’est pas chiffré de bout en bout, Zoom n’a pas le droit de le dire et de le mettre en avant. La seule chose qui est vraiment chiffrée de bout en bout pour l’heure, ce sont les échanges par texte. Et encore, il faut activer une option, puisque ce n’est pas le cas par défaut, mais la firme semble ensuite faire correctement le travail, avec un vrai chiffrement complet.

Encore une fois, l’entreprise fait preuve d’une attitude bien désinvolte vis-à-vis de la vie privée et de la sécurité de ses utilisateurs. Dans sa réponse au site The Intercept, Zoom promet avoir pris toutes les précautions nécessaires pour éviter toute fuite de données et ses milliers d’employés ne sont pas censés avoir accès aux flux échangés par le biais de ses serveurs.

Image d’accroche : Joybot (CC BY-SA 2.0)