Zoom pointé du doigt pour chiffrement trompeur et vidéos privées en ligne

Le service d’appels vidéo et visioconférence Zoom est à nouveau dans l’eau chaude, alors que des milliers de vidéos privées se sont retrouvées sur le web. De plus, l’entreprise américaine est pointée du doigt pour avoir menti sur son service de chiffrement de sécurité.

Avec la crise de la Covid-19, Zoom s’est rapidement hissé au sommet des applications d’appels vidéo passant de 10 millions à 200 millions d’utilisateurs pour le mois de mars seulement.

Avec une telle popularité grandissante, les projecteurs sont braqués sur l’entreprise américaine. De par cette attention particulière, plusieurs lacunes commencent à être aperçues sur Zoom.

Il y a d’abord cette histoire de transfert d’informations des utilisateurs à Facebook. Puis, une faille sur Windows avec le module de chat qui, lorsqu’on partageait un hyperlien, compromettait les accès de notre ordinateur.

Enfin, il y a un nouveau phénomène qui a pris de l’ampleur, le ZoomBombing, où des inconnus s’introduisent dans des conversations pour partager du contenu obscène.

À peine Zoom a-t-il eu le temps de reprendre son souffle en coupant les liens avec Facebook, en réparant la faille sur Windows et en renforçant la sécurité des conversations que l’on apprend que des milliers d’appels se retrouvent facilement sur le web et que l’entreprise a menti sur son système de chiffrement.

Zoom problèmes dévoilés

Avec l’attention générée par Zoom, des lacunes sont mises en évidence.

15 000 appels vidéo privés Zoom aperçus sur le web

Le Washington Post nous apprend que des milliers d’appels privés sur Zoom se retrouvent avec une facilité déconcertante sur le web. Le journal a été alerté par Patrick Jackson, chef technologique chez la compagnie de cybersécurité Disconnect, qui a aperçu pas moins de 15 000 conversations en ligne.

Ces conversations allaient autant des réunions d’équipe de travail, des cours d’école, des thérapies à de la nudité avec un appel sur comment se faire une coupe brésilienne…

Il est important de spécifier que la faute n'est pas entièrement sur Zoom, mais ils ne sont pas blancs comme neige pour autant.

À la base, l’hôte d’un appel Zoom peut enregistrer la vidéo sans le consentement des membres. Ceux-ci sont cependant notifiés que l’appel est enregistré.

Sur la version payante de Zoom, ces enregistrements peuvent être stockés dans le nuage de l’entreprise. Le problème n'est pas là.

Le hic, c’est lorsque quelqu’un enregistre ses vidéos sur un autre service que le nuage de Zoom.

Puisque Zoom nomme tous les enregistrements avec le même nom de fichier, il est facile de les retrouver à l’aide d’une simple recherche web si ceux-ci sont placés sur des services accessibles à tous.

Des milliers de vidéos ont ainsi été aperçues sur des serveurs de stockage d’Amazon sans mot de passe ou carrément sur YouTube et Vimeo.

Pour le chercheur Patrick Jackson qui a fait la découverte, Zoom aurait intérêt à mieux conscientiser ses utilisateurs sur le stockage des enregistrements et permettre aux hôtes de nommer les enregistrements plutôt que de laisser le même nom pour tous.

Un chiffrement pas aussi sécuritaire que Zoom le prétend

L’autre nouvelle concerne cette fois le chiffrement des appels, alors que des chercheurs de Citizen Lab de l’Université de Toronto ont démontré que Zoom induit le public en erreur sur son site.

Zoom prétend que les appels sont sécurisés et chiffrés avec le protocole AES 256 bits, alors que dans les faits il utilise un protocole 128 bits en mode ECB. Une version qu’ils ont eux-mêmes conçu soi-disant passant plutôt que de se fier à des solutions déjà mises à l’épreuve et étoffées.

Quelle est la différence? Sans entrer dans les détails, leur forme de cryptages ne sécurise pas à 100% les informations. Une partie peut être interceptée comme il le démontre à l’aide de cette image où l’on voit quand même une partie du manchot.

Chiffrement EBS

Citizen Lab illustre comment le protocole de chiffrement de Zoom laisse de l’information accessible.

 

Le problème ne s’arrête malheureusement pas là, alors que certaines des clés de chiffrement sont générées sur des serveurs situés en Chine, ce qui en fait sourciller plusieurs comptes tenus de la réputation des Chinois en matière de cyber espionnage.

Zoom a répondu par l’entremise d’un blogue à Citizen Lab. Ceux-ci nous expliquent qu’ils vont travailler à renforcer leur système de chiffrement et que des serveurs chinois ont été utilisés pour répondre à la demande grandissante du service ces dernières semaines.

Une réponse un peu étrange compte tenu de leur fausse prétention au niveau du système de chiffrement.

Des alternatives à Zoom

Avec les révélations et soucis que Zoom connait ces dernières semaines, certains se demandent vers quel autre service d’appels vidéo ils peuvent se tourner.

Voici une liste d’autres applications et service d’appels vidéo :

  • Google Duo
  • Google Hangout
  • Google Meet
  • Facetime
  • Jitsy
  • Messenger
  • Signal
  • Skype
  • Teams
  • Webex
Logiciels de sécurité

Ce VPN fait bien plus que protéger notre connexion internet

Économisez

Les rabais de François: promotions et offres technos de la semaine