Le cryptage de Zoom n’est « pas adapté aux secrets » et a des liens surprenants avec la Chine, découvrent les chercheurs

Les réunions sur Zoom, le service de vidéoconférence de plus en plus populaire, sont cryptées à l’aide d’un algorithme présentant des faiblesses graves et bien connues, et utilisant parfois des clés émises par des serveurs en Chine, même lorsque les participants à la réunion sont tous en Amérique du Nord, selon des chercheurs de l’Université de Toronto.

Les chercheurs ont également découvert que Zoom protège le contenu vidéo et audio en utilisant un système de cryptage maison, qu’il existe une vulnérabilité dans la fonction « salle d’attente » de Zoom et que Zoom semble avoir au moins 700 employés en Chine répartis dans trois filiales. Ils concluent, dans un rapport pour le Citizen Lab de l’université – largement suivi dans les milieux de la sécurité de l’information – que le service de Zoom « n’est pas adapté aux secrets » et qu’il peut être légalement obligé de divulguer les clés de cryptage aux autorités chinoises et « répondre aux pressions » de celles-ci.

Zoom n’a pas pu être joint pour un commentaire.

Générer des clés de cryptage en Chine

En début de semaine, The Intercept a rapporté que Zoom trompait les utilisateurs en prétendant soutenir le cryptage de bout en bout, dans lequel personne d’autre que les participants ne peut décrypter une conversation. Le chef de produit de Zoom, Oded Gal, a ensuite écrit un billet de blog dans lequel il s’est excusé au nom de la société « pour la confusion que nous avons causée en suggérant à tort que les réunions de Zoom étaient capables d’utiliser un cryptage de bout en bout ». Le courrier a ensuite détaillé le type de cryptage utilisé par la société.

En se basant sur la lecture de ce billet et sur les recherches du Citizen Lab, voici comment les réunions Zoom semblent fonctionner :

Lorsque vous lancez une réunion Zoom, le logiciel Zoom qui exécute votre appareil récupère une clé avec laquelle vous pouvez crypter l’audio et la vidéo. Cette clé provient de l’infrastructure en cloud de Zoom, qui contient des serveurs dans le monde entier. Plus précisément, elle provient d’un type de serveur appelé « système de gestion de clés », qui génère des clés de cryptage et les distribue aux participants à la réunion. Chaque utilisateur reçoit la même clé, partagée, lorsqu’il se joint à la réunion. Elle est transmise au logiciel Zoom sur leurs appareils à partir du système de gestion des clés en utilisant un autre système de cryptage, TLS, la même technologie utilisée dans le protocole « https » qui protège les sites web.

Selon la manière dont la réunion est organisée, certains serveurs dans le cloud de Zoom appelés « connecteurs » peuvent également obtenir une copie de cette clé. Par exemple, si une personne appelle au téléphone, elle appelle en fait un serveur « Connecteur téléphonique Zoom », qui reçoit une copie de la clé.

Certains des systèmes de gestion des clés – 5 sur 73, dans un scan du Citizen Lab – semblent être situés en Chine, le reste aux États-Unis. Il est intéressant de noter que les serveurs chinois sont au moins parfois utilisés pour des chats Zoom qui n’ont aucun lien avec la Chine. Les deux chercheurs du Citizen Lab qui ont rédigé le rapport, Bill Marczak et John Scott-Railton, vivent aux États-Unis et au Canada. Lors d’un appel test entre les deux, la clé de cryptage de la réunion partagée « a été envoyée à l’un des participants par TLS depuis un serveur Zoom apparemment situé à Pékin », selon le rapport.

Le rapport souligne que Zoom peut être légalement obligé de partager les clés de cryptage avec les autorités chinoises si les clés sont générées sur un serveur de gestion de clés hébergé en Chine. Si les autorités chinoises ou tout autre attaquant hypothétique ayant accès à une clé veut espionner une réunion de Zoom, elles doivent également soit surveiller l’accès Internet d’un participant à la réunion, soit surveiller le réseau à l’intérieur du nuage de Zoom. Une fois qu’ils ont recueilli le trafic crypté de la réunion, ils peuvent utiliser la clé pour le décrypter et récupérer la vidéo et l’audio.

Défauts de cryptage : Le pire de l’AES

Citizen Lab a signalé comme inquiétant non seulement le système utilisé pour distribuer les clés de cryptage de Zoom, mais aussi les clés elles-mêmes et la façon dont elles sont utilisées pour crypter les données.

Les clés de Zoom sont conformes à la norme de cryptage avancée (Advanced Encryption Standard, ou AES), largement utilisée. Un livre blanc de la société affirme que les réunions de Zoom sont protégées par des clés AES de 256 bits, mais les chercheurs du Citizen Lab ont confirmé que les clés utilisées ne sont en fait que de 128 bits. Ces clés sont encore considérées comme sûres aujourd’hui, mais au cours de la dernière décennie, de nombreuses entreprises ont opté pour des clés de 256 bits.

En outre, Zoom crypte et décrypte avec AES en utilisant un algorithme appelé mode Electronic Codebook, ou ECB, « ce qui est bien compris comme une mauvaise idée, car ce mode de cryptage préserve les modèles dans l’entrée », selon les chercheurs du Citizen Lab. En fait, le ECB est considéré comme le pire des modes disponibles de l’AES.

Voici pourquoi : Il devrait être impossible de faire la différence entre des données correctement cryptées et des données complètement aléatoires, comme des parasites sur une radio, mais le mode ECB ne le fait pas. S’il y a un modèle dans les données non cryptées, le même modèle apparaît dans les données cryptées. Cette page Wikipédia contient une illustration utile pour visualiser cela :

Une fois qu’elles ont été mal codées de cette manière, les données vidéo et audio sont distribuées à tous les participants à une réunion par l’intermédiaire d’un serveur Zoom Multimedia Router. Pour la plupart des utilisateurs, ce serveur fonctionne dans le cloud de Zoom, mais les clients peuvent choisir d’héberger cette partie sur place. Dans ce cas, Zoom générera, et aura donc accès à la clé AES qui crypte la réunion mais ne devrait pas avoir accès au contenu de la réunion elle-même, tant qu’aucun des serveurs « connecteurs » mentionnés ci-dessus (pour les appels téléphoniques, etc.) ne participe à la réunion. (Dans son billet de blog, Zoom a déclaré que les clients de l’auto-hébergement pourront éventuellement gérer leurs propres clés de cryptage).

Les hôtes de réunions peuvent configurer leurs réunions pour qu’elles aient des « salles d’attente » virtuelles, de sorte que les utilisateurs n’entrent pas directement dans la réunion lorsqu’ils se connectent avec Zoom mais doivent plutôt attendre d’être invités par un participant. Les chercheurs du Citizen Lab ont découvert une faille de sécurité avec cette fonctionnalité lors de leur analyse de chiffrement. Ils ont déclaré dans leur rapport qu’ils ont révélé la vulnérabilité de Zoom mais que « nous ne fournissons pas actuellement d’informations publiques sur la question pour éviter qu’elle ne soit exploitée de manière abusive ». Dans l’intervalle, les chercheurs ont conseillé aux utilisateurs de Zoom qui souhaitent la confidentialité d’éviter d’utiliser les salles d’attente et de définir plutôt des mots de passe pour les réunions.

Les mesures correctives apportées par Zoom

Les failles récemment découvertes dans le cryptage de Zoom peuvent être troublantes pour de nombreux clients de l’entreprise. Depuis le début de l’épidémie de coronavirus, la clientèle de Zoom est passée de 10 millions d’utilisateurs à 200 millions, dont « plus de 90 000 écoles dans 20 pays », selon un article publié sur le blog du PDG de Zoom, Eric Yuan. Le gouvernement américain a récemment dépensé 1,3 million de dollars en contrats avec Zoom dans le cadre de sa réponse à la pandémie, selon un examen des contrats gouvernementaux par Forbes, et le gouvernement britannique a utilisé Zoom pour des réunions de Cabinet à distance, selon un tweet du Premier ministre Boris Johnson.

Selon Citizen Lab, parmi ceux qui devraient se préoccuper des questions de sécurité de Zoom, on trouve « les gouvernements inquiets de l’espionnage » et « les entreprises préoccupées par la cybercriminalité et l’espionnage industriel ».

Malgré une récente vague de défaillances en matière de sécurité et de confidentialité, Yuan, le PDG de Zoom, semble être à l’écoute des commentaires et faire un réel effort pour améliorer le service. « Ces nouveaux cas d’utilisation, principalement par des consommateurs, nous ont permis de découvrir des problèmes imprévus avec notre plateforme. Des journalistes dévoués et des chercheurs en sécurité ont également aidé à identifier les problèmes préexistants », a écrit M. Yuan dans son billet de blog. « Nous apprécions l’examen minutieux et les questions que nous avons reçues – sur le fonctionnement du service, sur notre infrastructure et notre capacité, et sur nos politiques de sécurité et de protection de la vie privée ».

En plus de corriger rapidement plusieurs problèmes de sécurité qui avaient été signalés, la société a supprimé une fonction de « suivi de l’attention des participants », un cauchemar en matière de confidentialité qui permettait aux organisateurs de réunions de savoir si les participants avaient la fenêtre Zoom – ou la fenêtre d’une autre application – en vue pendant une réunion. Elle a également investi dans de nouveaux supports de formation pour enseigner aux utilisateurs les caractéristiques de sécurité, comme la définition de mots de passe pour les réunions afin d’éviter le « Zoom-bombing« , le phénomène par lequel les gens perturbent les réunions non protégées de Zoom.

Comme le service de Zoom n’est pas crypté de bout en bout et que la société a accès à toutes les clés de cryptage et à tous les contenus vidéo et audio qui transitent par son cloud, il est possible que les gouvernements du monde entier obligent la société à leur remettre des copies de ces données. Si Zoom aide les gouvernements à espionner ses utilisateurs, la société affirme qu’elle n’a pas construit d’outils spécifiques pour aider les forces de l’ordre : « Zoom n’a jamais construit de mécanisme pour décrypter les réunions en direct à des fins d’interception légale« , a écrit Gal, le chef de produit de Zoom, dans le post technique du blog, « et nous n’avons pas non plus les moyens d’insérer nos employés ou d’autres personnes dans les réunions sans que cela se reflète dans la liste des participants ».

Contrairement à certaines autres entreprises technologiques, Zoom n’a jamais divulgué d’informations sur le nombre de demandes de données qu’elle reçoit du gouvernement et sur le nombre de ces demandes auxquelles elle se conforme. Mais après la lettre ouverte du groupe de défense des droits de l’homme Access Now demandant à Zoom de publier un rapport de transparence, Yuan a également promis de le faire. Dans les trois prochains mois, l’entreprise préparera « un rapport de transparence qui détaille les informations liées aux demandes de données, de dossiers ou de contenu ». Access Now a félicité Zoom de s’être engagé à publier un rapport de transparence.

Via The Intercept

 

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.