{"id":1643,"date":"2020-04-07T05:53:56","date_gmt":"2020-04-07T05:53:56","guid":{"rendered":"https:\/\/www.affinite.fr\/index.php\/2020\/04\/07\/le-service-de-videoconference-de-nouveau-epingle-pour-la-qualite-mediocre-de-son-chiffrement\/"},"modified":"2020-04-07T05:53:56","modified_gmt":"2020-04-07T05:53:56","slug":"le-service-de-videoconference-de-nouveau-epingle-pour-la-qualite-mediocre-de-son-chiffrement","status":"publish","type":"post","link":"http:\/\/www.affinite.fr\/index.php\/2020\/04\/07\/le-service-de-videoconference-de-nouveau-epingle-pour-la-qualite-mediocre-de-son-chiffrement\/","title":{"rendered":"le service de vid\u00e9oconf\u00e9rence de nouveau \u00e9pingl\u00e9 pour la qualit\u00e9 m\u00e9diocre de son chiffrement"},"content":{"rendered":"<p> [ad_1]<br \/>\n<\/p>\n<div itemprop=\"articleBody\">\n<p>Les r\u00e9v\u00e9lations sur la confidentialit\u00e9 des flux audio et vid\u00e9o de Zoom continuent. Depuis la semaine derni\u00e8re, on sait que l\u2019entreprise n\u2019utilise <a href=\"https:\/\/www.01net.com\/actualites\/zoom-le-service-de-videoconference-ultra-populaire-est-tres-efficace-mais-tres-mal-securise-1886342.html\" target=\"_blank\" rel=\"noopener noreferrer\">pas de chiffrement de bout en bout<\/a>, contrairement \u00e0 ce qu\u2019elle affirmait. Les chercheurs en s\u00e9curit\u00e9 de Citizen Lab \u00e0 Toronto sont all\u00e9s encore plus loin dans l\u2019analyse. Ils ont r\u00e9alis\u00e9 des sessions de vid\u00e9oconf\u00e9rence en interceptant les paquets \u00e9chang\u00e9s par Wireshark et en inspectant la zone m\u00e9moire de l\u2019application Zoom sur les terminaux.<\/p>\n<aside class=\"bg-color-0 padding-inside-all-s bloc border-s\">\n<h4 class=\"box-txt-normal\">\n<p><b>A d\u00e9couvrir aussi en vid\u00e9o<\/b><\/p>\n<\/h4>\n<\/aside>\n<p>Le r\u00e9sultat est assez \u00e9difiant. Tout d\u2019abord, Zoom utilise un protocole de chiffrement fait maison, ce qui n\u2019est jamais une bonne id\u00e9e, car il vaut toujours mieux s\u2019appuyer sur des technologies \u00e9prouv\u00e9es. Ensuite, il s\u2019av\u00e8re que la qualit\u00e9 du chiffrement n\u2019est pas celle qu\u2019elle devrait \u00eatre. Sur son site web et dans ses livres blancs, Zoom affirme qu\u2019il utilise l\u2019algorithme AES 256\u00a0bits pour chiffrer les communications.<\/p>\n<figure class=\"figure text-center\"><img decoding=\"async\" class=\"article-img img-responsive-l\" src=\"https:\/\/img.bfmtv.com\/c\/0\/708\/7b9\/b8ad0105631f5c96ff3bd55955bed.jpg\" alt=\"\"\/><figcaption class=\"figure-caption figcaption color-txt-0 title-xs hidden-xs\">\n                                    Copie d&rsquo;\u00e9cran<br \/>\n                                                    &#8211;<br \/>\n                            <\/figcaption><\/figure>\n<p>Mais ceci n\u2019est vrai qu\u2019en partie. En r\u00e9alit\u00e9, les flux audio et vid\u00e9o ne sont chiffr\u00e9s qu\u2019avec une cl\u00e9 AES 128\u00a0bits. Certes, ce n\u2019est d\u00e9j\u00e0 pas trop mal, car c\u2019est le minimum recommand\u00e9 aujourd\u2019hui par les agences de cybers\u00e9curit\u00e9 nationales. Mais pourquoi alors se lancer dans une fausse publicit\u00e9\u00a0?<\/p>\n<p><strong>Lire aussi:<\/strong> <a href=\"https:\/\/www.01net.com\/actualites\/zoom-5-bonnes-raisons-de-ne-pas-utiliser-ce-service-de-visioconference-1888182.html\" target=\"_blank\" rel=\"noopener noreferrer\">Zoom: 5 bonnes raisons pour ne pas utiliser ce service de de visioconf\u00e9rence<\/a><\/p>\n<p>Par ailleurs, les chercheurs de Citizen Lab ont remarqu\u00e9 que Zoom utilisait AES en mode ECB (Electronic Codebook). En cryptographie, les modes sp\u00e9cifient la mani\u00e8re dont un algorithme est impl\u00e9ment\u00e9. ECB est le mode le plus simple, mais aussi le moins efficace. Dans certains cas, il est possible de reconna\u00eetre dans le message chiffr\u00e9 des structures du message originel, comme on peut le voir ci-dessous. Son usage n\u2019est donc jamais recommand\u00e9. Selon Citizen Lab, Zoom aurait d\u00fb choisir le mode SICM (Segmented Integer Counter Mode), qui ne pr\u00e9sente pas ce type de d\u00e9fauts.<\/p>\n<figure class=\"figure text-center\"><img decoding=\"async\" class=\"article-img img-responsive-l\" src=\"https:\/\/img.bfmtv.com\/c\/0\/708\/da5\/797d7442f072771e56ed8e270be9c.jpg\" alt=\"\"\/><figcaption class=\"figure-caption figcaption color-txt-0 title-xs hidden-xs\"\/><\/figure>\n<p>Enfin, les chercheurs ont not\u00e9 que les cl\u00e9s de chiffrement AES \u00e9taient diffus\u00e9es aux participants par une connexion TLS en provenance de serveurs situ\u00e9s\u2026 en Chine. Quand on conna\u00eet l\u2019app\u00e9tence des services chinois en mati\u00e8re de cyberespionnage, il y a de quoi \u00eatre s\u00e9rieusement inquiet.<\/p>\n<figure class=\"figure text-center\"><img decoding=\"async\" class=\"article-img img-responsive-l\" src=\"https:\/\/img.bfmtv.com\/c\/0\/708\/e51\/95447a6d02284fe5c204ac1162a87.jpg\" alt=\"\"\/><figcaption class=\"figure-caption figcaption color-txt-0 title-xs hidden-xs\"\/><\/figure>\n<p>A la suite de l\u2019\u00e9tude de Citizen Lab, Zoom a publi\u00e9 une note de blog pour s\u2019expliquer. Concernant le chiffrement, l\u2019entreprise fait profil bas. Elle reconna\u00eet qu\u2019elle peut <em>\u00ab\u00a0faire mieux\u00a0\u00bb<\/em> et s\u2019est adoss\u00e9e \u00e0 <em>\u00ab\u00a0des experts externes\u00a0\u00bb<\/em> pour am\u00e9liorer la situation. Pour les serveurs de cl\u00e9s situ\u00e9s en Chine, en revanche, elle explique qu\u2019il s\u2019agissait l\u00e0 d\u2019une regrettable erreur. En temps normal, ces serveurs ne seraient destin\u00e9s qu\u2019aux utilisateurs chinois. En raison d\u2019une mauvaise configuration, ils auraient \u00e9galement fourni des cl\u00e9s AES \u00e0 des utilisateurs hors de Chine, dans des <em>\u00ab\u00a0circonstances extr\u00eamement limit\u00e9es\u00a0\u00bb<\/em>. Ce d\u00e9faut serait aujourd\u2019hui r\u00e9par\u00e9.<\/p>\n<p>Au final, on est \u2014 une fois de plus \u2014 \u00e9tonn\u00e9 par la communication brouillonne, voire trompeuse, de Zoom. L\u2019entreprise promet qu\u2019elle va corriger le tir. Si elle ne le fait pas, elle risque une perte d\u2019image irr\u00e9m\u00e9diable.<\/p>\n<p><strong>Sources<\/strong>: <a href=\"https:\/\/citizenlab.ca\/2020\/04\/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings\/\" target=\"_blank\" rel=\"noopener noreferrer\">Citizen Lab<\/a>, <a href=\"https:\/\/blog.zoom.us\/wordpress\/2020\/04\/03\/response-to-research-from-university-of-torontos-citizen-lab\/\" target=\"_blank\" rel=\"noopener noreferrer\">Zoom<\/a><\/p>\n<\/p><\/div>\n<p><script>\n         !function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function()\n         {n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)}\n         ;if(!f._fbq)f._fbq=n;\n             n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0;\n             t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window,\n                 document,'script','https:\/\/connect.facebook.net\/en_US\/fbevents.js');\n         fbq('init', '1065890633454496');\n         fbq('track', 'PageView');\n     <\/script><br \/>\n<br \/>[ad_2]<br \/>\n<br \/><a href=\"https:\/\/www.01net.com\/actualites\/zoom-le-service-de-videoconference-de-nouveau-epingle-pour-la-qualite-de-son-chiffrement-1889992.html\">Source link <\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[ad_1] Les r\u00e9v\u00e9lations sur la confidentialit\u00e9 des flux audio et vid\u00e9o de Zoom continuent. Depuis la semaine derni\u00e8re, on sait &hellip; <a href=\"http:\/\/www.affinite.fr\/index.php\/2020\/04\/07\/le-service-de-videoconference-de-nouveau-epingle-pour-la-qualite-mediocre-de-son-chiffrement\/\" class=\"more-link\">Plus <span class=\"screen-reader-text\">le service de vid\u00e9oconf\u00e9rence de nouveau \u00e9pingl\u00e9 pour la qualit\u00e9 m\u00e9diocre de son chiffrement<\/span> <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":1644,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_sitemap_exclude":false,"_sitemap_priority":"","_sitemap_frequency":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-1643","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tous"],"_links":{"self":[{"href":"http:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/posts\/1643"}],"collection":[{"href":"http:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/comments?post=1643"}],"version-history":[{"count":0,"href":"http:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/posts\/1643\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/media\/1644"}],"wp:attachment":[{"href":"http:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/media?parent=1643"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/categories?post=1643"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.affinite.fr\/index.php\/wp-json\/wp\/v2\/tags?post=1643"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}