Zoom introduit une méthode de cryptage améliorée pour améliorer la sécurité
Alors que la pandémie de COVID-19 a commencé à se propager rapidement en mars 2020, plusieurs pays ont mis en place un confinement pour y faire face afin d'« aplatir la courbe ». Cela a conduit de nombreuses entreprises, en particulier les sociétés informatiques, à s'éloigner complètement pendant la période de verrouillage. Avec de plus en plus d'employés travaillant à domicile, des applications comme Zoom, très pratiques pour les réunions vidéo, sont devenues la norme. La base d'utilisateurs de Zoom est passée de 10 millions à 200 millions en mars.
Cependant, alors que le nombre d'utilisateurs a connu une augmentation fulgurante, plusieurs risques de sécurité et failles au sein de Zoom ont commencé à faire surface. Certains exemples incluent un hôte de réunion capable de collecter des données sur les participants, Zoombombing par des pirates (détournement d'une vidéoconférence pour afficher du contenu pornographique), l'application envoyant secrètement des données à Facebook, prétend que le client Windows pour Zoom pourrait être piraté pour voler des mots de passe, Malware -Comportement similaire au programme d'installation de Zoom pour MacOS, etc.
Pour résoudre tous ces problèmes de sécurité, Zoom a publié sa mise à jour 5.0 le 27 avril 2020. Cette version intervient après environ trois semaines, la société a annoncé son plan de 90 jours. L'un des changements les plus critiques dans la mise à jour Zoom 5.0 est l'utilisation du cryptage AES-256 GCM. Les algorithmes de cryptage précédemment utilisés par Zoom ont été jugés inférieurs à la moyenne. Cette mise à jour est donc indispensable, notamment pour les utilisateurs quotidiens de Zoom.
Qu'est-ce que le chiffrement GCM ?
GCM signifie Mode Galois/Compteur. Il s'agit d'un mode de fonctionnement de chiffrement par bloc (les données sont divisées en blocs puis cryptées) utilisé avec de nombreux algorithmes de chiffrement par bloc, généralement avec l'algorithme Advanced Encryption Standard (AES). L'algorithme offre un cryptage authentifié sur les données et est très couramment utilisé car il offre un niveau de sécurité requis sans compromettre les performances et l'efficacité.
GCM fournit un cryptage à l'aide d'un compteur. Pour chaque bloc de données, il entre la valeur actuelle du compteur dans l'algorithme de chiffrement par bloc. Ensuite, il prend la sortie de l'algorithme de chiffrement par bloc et EXOR avec le texte/les données en clair pour générer le texte/les données chiffrées. Tout algorithme de chiffrement par bloc peut être utilisé avec GCM de cette manière. Le plus populaire est l'algorithme AES-256.
Zoom utilise AES-256 GCM à partir de la mise à jour 5.0. Il établit un pas de géant dans l'infrastructure Zoom, par rapport aux précédents algorithmes de sécurité utilisés. Bien que cette mise à jour ne présente pas le cryptage de bout en bout dans Zoom, il s'agit toujours d'une mise à niveau de sécurité massive par rapport aux anciennes versions.
Prochaines actions par les utilisateurs de Zoom
Actuellement, Zoom autorise l'utilisation des versions précédentes, jusqu'au 30 mai 2020. Si un utilisateur utilisant un client plus ancien essaie de rejoindre une réunion, il sera invité à confirmer avant la mise à jour. Après le 30 mai, tous les clients Zoom des anciennes versions ne pourront plus se connecter à une réunion. Par conséquent, les utilisateurs doivent télécharger et mettre à jour l'application Zoom vers la version 5.0 ou supérieure.
Si vous êtes un administrateur Zoom gérant Zoom pour plusieurs utilisateurs dans un cluster, vous pouvez consulter cette page pour voir plus de détails sur le déploiement progressif de Zoom 5.0 sur toutes les plateformes prises en charge.