Pour enrayer la spirale des interdictions d’usage de son service de visioconférence, suite à ses déboires sécuritaires, Zoom s’est lancé dans une campagne tous azimuts pour pallier ses manques et endiguer l’hémorragie. Après avoir engagé comme consultant Alex Stamos, l’ancien chef de la sécurité de Facebook, Zoom annonce l’acquisition de Keybase, une jeune pousse spécialisée dans le chiffrement. Dans la foulée de l’annonce, Zoom a confirmé son plan de 90 jours de sécurisation de ses services, en promettant d’intégrer le chiffrement de bout en bout dans ses offres payantes.
Pour le moment, le chiffrement s’effectue seulement au niveau des serveurs de Zoom ou ceux utilisés chez des prestataires tiers. Les données sur les terminaux et durant leur transit vers le serveur sont toujours en clair. Si un terminal ou un serveur est compromis, les clés de chiffrement (privées et publiques) deviennent alors accessibles et le contenu déverrouillé facilement.
Le défi d’intégrer le chiffrement de bout en bout est une entreprise complexe, car généraliser le chiffrement sur une infrastructure de cette taille est une opération inédite à cette échelle. À tel point qu’Eric Yuan, PDG et fondateur de Zoom, s’est montré assez prudent dans ses déclarations, car les obstacles à franchir sont nombreux. « Il existe aujourd’hui des plateformes de communication chiffrées de bout en bout, des plateformes dont la sécurité peut être facilement déployée et des plateformes répondant aux besoins des entreprises à très grande échelle. Nous pensons toutefois qu’aucune offre sur le marché ne propose actuellement tous ces éléments réunis. Et c’est ce que Zoom souhaite construire, en offrant à ses utilisateurs, dans un même produit, sécurité, facilité d’utilisation et évolutivité. », a-t-il déclaré.
Le premier des obstacles est humain, car il faudra faire travailler ensemble les équipes de Zoom et celles de Keybase. « La première étape consiste à réunir les bonnes personnes, explique Eric Yuan. Keybase apporte à Zoom une expertise approfondie en matière de chiffrement et de sécurité, et nous sommes ravis d’accueillir Max et son équipe. L’arrivée d’un groupe cohésif d’ingénieurs en sécurité comme celui-ci fait considérablement avancer notre plan de 90 jours pour renforcer nos efforts en matière de sécurité ».
Le second défi est technologique, car il ne suffit pas de rajouter une couche de chiffrement dans les clients Zoom pour que ça fonctionne. Entre le chiffrement d’emails, de messages et de fichiers, et celui de millions de visioconférences en temps réel, il y a un gouffre. Dans une interview à nos confrères de TechCruch, Alex Stamos reconnait la difficulté : « la vérité est que ce que Zoom veut faire avec le chiffrement de bout en bout, personne ne l’a vraiment fait, donc il n’y a pas de produit que vous pourriez simplement intégrer à Zoom pour le transformer en clé de chiffrement. Il va falloir y réfléchir dès le début pour répondre aux besoins spécifiques d’une entreprise », a-t-il concédé. Il a annoncé dans la foulée l’intention de Zoom de publier, le 22 mai prochain, un document décrivant son plan cryptographique pour l’avenir, avant de finaliser la conception et de passer à la phase d’intégration.
Le plan de Zoom est audacieux, mais il n’en faut pas moins pour rassurer les entreprises et remettre la machine à conquérir les parts de marché en route. L’empoignade avec Microsoft et Google n’en est qu’à ses prémices et la sécurité est un enjeu majeur dans ce combat pour la suprématie, dans un monde qui va vers plus de télétravail et de mobilité.
