Les faits à propos de Zoom et du chiffrement des réunions/webinaires

Les faits à propos de Zoom et du chiffrement des réunions/webinaires

À la lumière de l’intérêt récent qu’ont suscité les pratiques de Zoom en matière de chiffrement, nous voudrions commencer par nous excuser concernant le malentendu que nous avons occasionné en suggérant – à tort – que le chiffrement de bout en bout était possible dans le cadre des réunions Zoom. Zoom s’est toujours efforcé d’utiliser le chiffrement afin de protéger le contenu dans le plus de scénarios possible, et c’est dans cet esprit que nous avons utilisé le terme de chiffrement de bout en bout. Bien que nous n’ayons jamais eu l’intention d’induire en erreur nos clients, nous reconnaissons l’existence d’une différence entre la définition communément acceptée de chiffrement de bout en bout et la manière dont nous utilisons celle-ci. Cet article de blog est destiné à corriger cet écart d’interprétation et à préciser avec le plus de justesse possible la manière dont nous chiffrons le contenu qui transite sur notre réseau.

Notre configuration de chiffrement a pour objectif d’offrir le maximum de confidentialité tout en soutenant la diversité des besoins de notre clientèle.

Pour être clairs, au cours d’une réunion où les participants sont tous des clients Zoom, et lorsque la réunion n’est pas enregistrée, nous cryptons tout le contenu vidéo et audio, le partage d’écran et le chat au niveau du client d’envoi. À aucun moment, nous ne décryptons ce contenu AVANT que celui-ci n’atteigne les clients de destination.

Par clients Zoom, nous sous-entendons, entre autres :

  • Un ordinateur portable ou un PC sur lequel est exécutée l’application Zoom
  • Un smartphone utilisant l’application Zoom
  • Une Zoom Room

Dans ce scénario, au cours duquel tous les participants utilisent l’application Zoom, aucun contenu utilisateur n’est accessible par les employés ou les serveurs Zoom à quelque point que ce soit durant le processus de transmission.

Zoom s’appuie sur un écosystème varié, constitué de plusieurs canaux de communication visant à offrir à nos utilisateurs autant de façons de se connecter que possible. Lorsque les utilisateurs se connectent à une réunion Zoom avec des appareils qui n’utilisent pas – de manière intrinsèque – le protocole de communication de Zoom, comme un téléphone (connecté via une ligne téléphonique traditionnelle, à défaut de l’application) ou les systèmes des salles reposant sur les protocoles SIP/H.323, le processus de chiffrement Zoom ne peut pas être directement appliqué par le téléphone ou l’appareil en question. Ceci dit, notre objectif est de conserver le chiffrement des données sur la plus grande partie du processus de transmission possible. Pour atteindre cet objectif, nous avons créé un certain nombre de clients spécialisés chargés de traduire les données entre nos systèmes hérités et nos réunions cryptées. Nous appelons ces derniers les « Connecteurs Zoom », qui comprennent entre autres :

  • Le connecteur de téléphonie Zoom
  • Le connecteur de salles de conférence Zoom
  • Le connecteur Skype Entreprise
  • Le connecteur d’enregistrement sur le cloud
  • Le connecteur Streaming en direct

Ces connecteurs sont, en effet, des clients Zoom qui fonctionnent dans le cloud de Zoom. Le contenu reste crypté pour chaque connecteur, et lorsque cela est possible, nous cryptons les données entre chaque connecteur et la destination finale (telle qu’un système de salle autre que Zoom).

Les connecteurs peuvent aussi être invités à une réunion à la demande de l’hôte pour aider ce dernier à exécuter des services pour la réunion. Citons le connecteur Streaming en direct, qui sert de client Zoom et qui traduit le contenu de la réunion dans un format de streaming en direct pour qu’il soit utilisé, par exemple, avec d’autres services de diffusion web.

Nous pensons qu’il est bon de continuer à crypter le contenu entre les clients, même dans un scénario où l’utilisation des connecteurs est nécessaire, car cela réduit, au niveau de Zoom, le nombre de systèmes ayant accès au contenu du client et sert de système de défense en profondeur.

Pour garantir que le processus, dans son intégralité, réponde aux besoins de nos clients 24 heures sur 24 et 7 jours sur 7 et aux quatre coins du globe, Zoom conserve actuellement le système de gestion des clés de ces systèmes dans le cloud. Plus important encore, Zoom a mis en place un certain nombre de systèmes de contrôle internes solides et éprouvés qui empêchent tout accès non autorisé aux contenus que partagent les utilisateurs pendant les réunions, y compris mais sans s’y limiter, les contenus vidéo et audio ainsi que le chat. Zoom n’a jamais créé de mécanisme visant à décrypter les réunions en direct à des fins d’interception licite. De même, nous ne disposons pas des moyens d’insérer nos employés ou d’autres personnes dans les réunions sans que leur présence ne soit reflétée dans la liste des participants.

Pour les personnes qui souhaitent bénéficier d’une meilleure maîtrise de leurs clés, une solution sur site existe aujourd’hui sur l’ensemble de l’infrastructure de réunion. De même, une solution sera mise à disposition plus tard cette année, qui permettra aux organisations d’exploiter l’infrastructure sur le cloud de Zoom, tout en hébergeant néanmoins le système de gestion des clés au sein de leur environnement. En outre, les clients d’entreprise ont la possibilité d’exécuter certaines versions de nos connecteurs au sein de leurs propres centres de données s’ils souhaitent gérer eux-mêmes le processus de traduction et de déchiffrement.

Nous nous sommes engagés à faire ce qu’il fallait vis-à-vis de la sécurité et de la protection des données personnelles de nos utilisateurs et comprenons l’importance que revêt cet état de fait à l’heure actuelle. Avec les hôpitaux, les universités, les écoles et toutes les autres organisations à travers le monde qui dépendent de Zoom pour rester connectées et opérationnelles, nous sommes fiers du travail que nous avons accompli pour protéger les données de ces institutions vitales grâce au chiffrement — et serons heureux de vous communiquer plus d’informations sur nos pratiques en matière de sécurité dans un avenir proche.

N’oubliez pas de partager cet article