HIGH TECH : Zoom «inadapté» aux secrets du gouvernement, selon les chercheurs

06 avril 2020 à 23h32 - 227 vues

Par Xavier

L’application de réunions vidéo très populaire, Zoom, présente des «faiblesses importantes» qui pourraient la rendre inadaptée aux secrets.

Une équipe du Citizen Lab a découvert que Zoom utilisait un type de cryptage non standard et transmettait des informations à travers la Chine.

Une équipe du Citizen Lab a découvert que Zoom utilisait un type de cryptage non standard et transmettait des informations à travers la Chine.

L’utilisation par le gouvernement – comme l’utilisation de l’application par Boris Johnson pour les réunions du Cabinet – peut ne pas être judicieuse, ont averti les chercheurs.

Mais l’application est parfaite pour rester en contact avec la plupart des gens, ont-ils déclaré.

Jusqu’à récemment, Zoom était principalement utilisé par les grandes entreprises pour les visioconférences. Mais l’explosion du nombre d’utilisateurs pendant la pandémie de coronavirus a créé «une nouvelle ruée vers l’or pour les cyber-espions», selon le rapport du Citizen Lab.

Mais pour les personnes utilisant Zoom pour contacter des amis, organiser des événements sociaux ou organiser des cours ou des conférences, «nos conclusions ne devraient pas nécessairement être préoccupantes», selon le rapport.

Zoom dit qu’il y a maintenant 200 millions de réunions tenues chaque jour, et malgré les graves défauts découverts dans ce dernier rapport, il est probablement sûr de dire que 199 millions d’entre eux ne sont pas en danger.

Le Citizen Lab a montré ici des preuves irréfutables qu’il est possible de collecter toutes les données d’une réunion vidéo, puis de les décrypter partiellement pour savoir, en gros, ce qui a été dit et ce qui a été vu.

Cependant, cela prendrait énormément de temps et d’efforts à un pirate informatique pour y parvenir – et cela ne vaudrait tout simplement pas l’effort pour un groupe de travail moyen ou un quiz de pub convivial organisé sur le service. Ce sont les pourparlers de haut niveau au niveau du conseil d’administration ou au sein du gouvernement qui seront ciblés.

Le gouvernement est dirigé par le National Cyber Security Center et d’autres experts en sécurité depuis le début. L’objectif a toujours été de permettre des communications ouvertes et fluides, mais cette recherche pourrait bien conduire à un changement rapide des conseils sur le zoom.

«Zoom a commis l’erreur classique de concevoir et de mettre en œuvre leur propre schéma de chiffrement, plutôt que d’utiliser l’une des normes existantes pour chiffrer le contenu vocal et vidéo», a déclaré Bill Marczak, chercheur au Citizen Lab.

«Pour être sûr, le cryptage de Zoom est meilleur que rien du tout, mais les utilisateurs s’attendant à ce que leurs réunions Zoom soient à l’abri de l’espionnage devraient réfléchir à deux fois avant d’utiliser l’application pour discuter d’informations sensibles.»

La recherche n’a pas pris les services de sécurité au Royaume-Uni par surprise et il est entendu qu’un projet travaille “au rythme” pour adapter les systèmes de communication existants aux exigences du travail à domicile et de la sécurité.

Le National Cyber Security Center du Royaume-Uni a publié une déclaration disant: «Le zoom est utilisé pour permettre des communications COVID-19 de crise non classifiées dans les circonstances sans précédent actuelles. Des services assurés sont en place pour des communications plus sensibles et la fourniture de ces services est élargie compte tenu de la exigences d’un travail à distance beaucoup plus important.»

Le gouvernement ne révèle pas quelles réunions sont éligibles pour Zoom et lesquelles ne le sont pas. À titre d’exemple, la BBC a appris que Zoom est sans danger pour les discussions au niveau du Cabinet, mais pas pour les réunions d’urgence de Cobra.

Un «cœur» chinois pour l’entreprise américaine

Outre les normes de cryptage, les chercheurs ont également constaté que Zoom envoie du trafic vers la Chine – même lorsque toutes les personnes participant à une réunion Zoom sont en dehors de la Chine.

«Lors de plusieurs appels tests en Amérique du Nord, nous avons observé des clés de chiffrement et de déchiffrement de réunions transmises à des serveurs à Pékin, en Chine», indique le rapport.

Le rapport souligne également la forte implication des entreprises chinoises dans l’entreprise. Zoom a son siège aux États-Unis, mais compte environ 700 employés dans trois sociétés en Chine continentale travaillant au développement de l’application.

«L’exécution du développement hors de Chine évite à Zoom de devoir payer les salaires de la Silicon Valley, réduisant ses dépenses et augmentant sa marge bénéficiaire. Cependant, cet arrangement pourrait également ouvrir Zoom à la pression des autorités chinoises», selon le rapport.

Une approche ‘roll your own’

L’équipe a déclaré qu’il existe des messages mitigés et déroutants concernant le type de cryptage que Zoom utilise réellement.

À certains endroits, il indique aux utilisateurs qu’il utilise le chiffrement de bout en bout – la norme de référence pour la messagerie sécurisée, qui rend impossible pour le service, ou tout autre intermédiaire, d’accéder aux données. Dans sa documentation, Zoom a déclaré qu’il utilise un type de cryptage appelé AES-256.

Mais les chercheurs ont dit que ce n’était pas vrai. Au lieu de cela, Zoom a «lancé son propre» chiffrement – en utilisant une variante de quelque chose appelé AES-128 en «mode ECB».

Parmi les chercheurs en sécurité, le mode ECB «est bien compris comme une mauvaise idée», car il préserve certains des schémas de l’original, selon le rapport .

Le rapport indique également que Zoom n’utilise pas le chiffrement de bout en bout «comme la plupart des gens comprennent le terme». Au lieu de cela, il utilise un chiffrement de «transport» entre les appareils et les serveurs.

«Parce que Zoom n’implémente pas un véritable cryptage de bout en bout, ils ont la capacité théorique de décrypter et de surveiller les appels Zoom», indique le rapport. Mais il a noté que Zoom lui-même avait déjà répondu à cette préoccupation, promettant qu’ils n’avaient jamais construit un tel mécanisme, même si cela était théoriquement possible.

Au cours de leurs recherches, l’équipe a pu extraire une image fixe d’une réunion vidéo à l’aide de la clé de cryptage.

Zoom a clarifié sa politique de cryptage le 1er avril, s’excusant d’avoir suggéré à tort que les réunions étaient capables de cryptage de bout en bout.

Il a également déménagé pour apaiser les craintes concernant les problèmes de confidentialité et de sécurité, promettant de passer les 90 prochains jours à travailler exclusivement sur les «questions de confiance, de sécurité et de confidentialité».

Alan Woodward, professeur d’informatique à l’Université de Surrey, a déclaré à la BBC qu’un correctif majeur était nécessaire.

«Je ne pense pas que ce soit quelque chose que Zoom puisse simplement ajouter à sa liste de tâches à effectuer dans les 90 prochains jours. C’est possible, mais cela nécessite une réingénierie de la façon dont ils chiffrent leurs appels, c’est donc une entreprise majeure.»

Le professeur Woodward a ajouté: «Je n’utiliserais Zoom pour aucune discussion sensible ou secrète.»

Propulsé par HelloAsso

Commentaires(0)

Connectez-vous pour commenter cet article