Zoom fait l’acquisition de Keybase et annonce son intention de développer la solution de chiffrement d’entreprise la plus utilisée au monde

Zoom fait l’acquisition de Keybase et annonce son intention de développer la solution de chiffrement d’entreprise la plus utilisée au monde

Nous sommes fiers d’annoncer l’acquisition de Keybase, un autre jalon du plan à 90 jours de Zoom visant à renforcer la sécurité de notre plateforme de communication vidéo. Depuis le lancement de Keybase en 2014, son équipe d’ingénieurs d’exception a développé un service sécurisé de messagerie et de partage de fichiers basé sur une expertise approfondie du chiffrement et de la sécurité. Nous sommes heureux d’intégrer l’équipe de Keybase dans la famille Zoom pour nous aider à mettre en œuvre un chiffrement compatible avec l’évolutivité de Zoom.

Cette acquisition est une étape importante pour Zoom alors que nous essayons de mettre en œuvre une plateforme de communication vidéo réellement privée capable de prendre en charge plusieurs centaines de millions de participants tout en s’adaptant aux nombreux usages distincts de Zoom. Notre objectif est de garantir la confidentialité la plus élevée possible dans tous les cas de figure, tout en offrant un équilibre entre les besoins de nos utilisateurs et notre engagement à prévenir les comportements malveillants sur notre plateforme. L’équipe expérimentée de Keybase jouera un rôle déterminant dans l’accomplissement de cette mission.

Chiffrement actuellement mis en œuvre par Zoom

Aujourd’hui, le contenu audio et vidéo qui circule entre les clients Zoom (par ex., Zoom Rooms, ordinateurs portables et smartphones utilisant l’application Zoom) est chiffré sur chaque appareil émetteur. Il n’est pas déchiffré tant qu’il n’a pas atteint les appareils des destinataires. Avec la toute dernière version 5.0 de Zoom, les clients Zoom prennent désormais en charge le contenu chiffré conformément à la norme AES-GCM avec des clés de 256 bits. Toutefois, les clés de chiffrement de chaque réunion sont générées par les serveurs de Zoom. De plus, certaines fonctionnalités largement utilisées par les clients Zoom, comme la prise en charge des participants via un pont téléphonique ou l’utilisation de systèmes de salles de réunion fournis par d’autres sociétés, nécessitent toujours que Zoom conserve certaines clés de chiffrement dans le cloud. Néanmoins, pour les hôtes qui privilégient la confidentialité par rapport à la compatibilité, nous allons développer une solution alternative.

Le futur proche

Zoom va proposer un mode de réunion chiffré pour tous les comptes payants. Les utilisateurs connectés génèreront des identités cryptographiques publiques qui seront stockées dans un référentiel sur le réseau de Zoom et qui pourront être utilisées pour établir des relations de confiance entre les participants à une réunion. Une clé symétrique éphémère sera générée pour chaque réunion par l’hôte de la réunion. Cette clé sera distribuée aux clients entourée de paires de clés asymétriques, et une rotation sera appliquée lorsque la liste des participants enregistrera des modifications significatives. Les secrets cryptographiques seront sous le contrôle de l’hôte, et le logiciel client de l’hôte déterminera quels appareils pourront recevoir la clé et donc rejoindre la réunion. Nous étudions aussi des mécanismes qui permettraient aux utilisateurs des entreprises de bénéficier de niveaux d’authentification supplémentaires.

Ces réunions chiffrées ne prendront pas en charge les ponts téléphoniques, l’enregistrement sur le cloud ou les systèmes des salles de conférence tierces. Les participants pourront rejoindre une réunion via Zoom Rooms et Zoom Phone si l’hôte les y autorise explicitement. Les clés de chiffrement seront étroitement contrôlées par l’hôte, qui gèrera l’admission des participants. Nous pensons que la sécurité sera équivalente ou supérieure à celle offerte par les plateformes existantes de messagerie chiffrée, avec en plus la qualité vidéo et l’évolutivité qui font que plus de 300 millions de participants à des réunions choisissent Zoom au quotidien, y compris au sein des plus grandes entreprises au monde.

Alors que nous travaillons à renforcer la protection des données confidentielles de nos utilisateurs, nous nous efforçons également de prévenir tout usage malveillant des produits de Zoom. Dans cette optique, nous allons prendre les mesures suivantes :

  • Nous allons continuer de sensibiliser les utilisateurs aux mécanismes de signalement disponibles pour les hôtes de réunions, afin qu’ils signalent les participants indésirables ou perturbateurs.
  • Zoom continuera de ne pas surveiller de manière proactive le contenu des réunions, mais notre équipe Confiance et Sécurité poursuivra son utilisation d’outils automatisés afin de détecter les utilisateurs malveillants sur la base d’autres données disponibles.
  • Zoom ne dispose pas et ne développera pas de mécanismes permettant de déchiffrer les réunions en direct à des fins d’interception légale des communications.
  • Nous n’avons également aucun moyen d’incruster nos employés ou tout autre tiers dans des réunions sans qu’ils apparaissent dans la liste des participants. Nous ne développerons aucune porte dérobée cryptographique pour surveiller secrètement les réunions.

Prochaines étapes

Nous nous engageons à rester transparents et ouverts concernant le développement de notre offre de chiffrement. Nous prévoyons de publier un avant-projet cryptographique détaillé le vendredi 22 mai. Nous animerons ensuite des discussions avec des membres de la société civile, des experts en cryptographie et des clients afin de partager plus de détails avec eux et de solliciter leur avis. Lorsque nous aurons évalué leurs commentaires afin de les intégrer dans le concept final, nous annoncerons les jalons et les objectifs définis en vue du déploiement pour les utilisateurs de Zoom.

Nous sommes impatients d’accueillir l’équipe de Keybase et de concrétiser les opportunités qui s’offrent à nous.

Déclarations prospectives

Le présent communiqué contient des « déclarations prospectives » explicites et implicites au sens du Private Securities Litigation Reform Act de 1995 concernant l’acquisition par Zoom de Keybase, qui implique des risques, incertitudes et hypothèses conséquents pouvant se solder par des résultats effectifs substantiellement différents de ceux exprimés ou induits par de telles déclarations. Les déclarations prospectives contenues dans le présent communiqué comprennent, entre autres, des déclarations sur les bénéfices potentiels de la transaction, sur le développement de notre offre de chiffrement, sur notre capacité à intégrer l’équipe de Keybase et sur les opportunités de croissance potentielles.  Dans certains cas, vous pouvez identifier les déclarations prospectives grâce à des termes comme « anticipe », « pense », « estime », « s’attend », « s’efforce », « peut », « pourrait », « planifie », « envisage », « veut », « voudrait », « devrait », « potentiel », « cible », « étudie », « poursuit » ou aux formes négatives de ces termes, ainsi qu’à toute autre expression visant à identifier des déclarations prospectives. Toutefois, toutes les déclarations prospectives ne contiennent pas de tels termes permettant leur identification. De par leur nature, ces déclarations sont sujettes à de multiples incertitudes et risques, y compris des facteurs en dehors de notre contrôle, susceptibles d’entraîner des résultats, performances ou réalisations effectifs substantiellement et négativement différents de ceux attendus ou induits du fait de ces déclarations. Ces hypothèses, incertitudes et risques comprennent, entre autres, la possibilité que les bénéfices anticipés de la transaction ne soient pas réalisés au moment attendu ou dans l’absolu, la division de l’attention des cadres dirigeants dans la réalisation des opérations courantes et des opportunités, des réactions potentiellement négatives ou un changement des relations avec les entreprises ou les employés, la capacité à intégrer Keybase de manière fructueuse et d’autres facteurs pouvant influer sur les résultats futurs de Zoom.  Des risques et incertitudes supplémentaires pouvant entraîner des résultats effectifs substantiellement différents de ceux impliqués par les déclarations prospectives sont inclus à la rubrique « Facteurs de risque » ainsi que dans nos présentations les plus récentes soumises à la Securities and Exchange Commission (SEC), y compris dans notre rapport annuel (Form 10-K) pour l’exercice clôturé au 31 janvier 2020. Les déclarations prospectives ne valent qu’à compter de leur date de publication et sont basées sur les informations à la disposition de Zoom au moment de leur rédaction et/ou sur les croyances en toute bonne foi des cadres dirigeants au moment de leur publication concernant les événements à venir. Zoom décline toute obligation de mettre à jour les déclarations prospectives afin de refléter les événements ou les circonstances après la date de leur publication, sauf si la loi l’exige.

N’oubliez pas de partager cet article