Zoom admet que certains appels ont été acheminés par la Chine par erreur

Quelques heures après que des chercheurs en sécurité du Citizen Lab ont signalé que certains appels Zoom avaient été acheminés à travers la Chine, la plate-forme de vidéoconférence a présenté des excuses et une explication partielle.

Pour récapituler, Zoom a fait face à un déluge de manchettes cette semaine sur ses politiques de sécurité et ses pratiques en matière de confidentialité, alors que des centaines de millions de personnes forcées de travailler à domicile pendant la pandémie de coronavirus doivent encore communiquer entre elles.

Les dernières découvertes ont eu lieu plus tôt dans la journée lorsque des chercheurs de Citizen Lab ont déclaré que certains appels passés en Amérique du Nord étaient acheminés via la Chine – tout comme les clés de chiffrement utilisées pour sécuriser ces appels. Mais comme cela a été noté cette semaine, Zoom n’est pas du tout chiffré de bout en bout, malgré les affirmations précédentes de la société, ce qui signifie que Zoom contrôle les clés de chiffrement et peut donc accéder au contenu des appels de ses clients. Zoom a déclaré dans un précédent article de blog qu’il avait «mis en place des contrôles internes robustes et validés pour empêcher tout accès non autorisé à tout contenu que les utilisateurs partagent lors des réunions». On ne peut pas en dire autant des autorités chinoises, qui pourraient exiger que Zoom remette toutes les clés de chiffrement sur ses serveurs en Chine pour faciliter le déchiffrement du contenu des appels chiffrés.

Zoom dit maintenant que lors de ses efforts pour augmenter la capacité de ses serveurs pour accueillir l’afflux massif d’utilisateurs au cours des dernières semaines, il a « à tort » permis à deux de ses centres de données chinois d’accepter les appels en tant que sauvegarde en cas de congestion du réseau.

Du PDG de Zoom, Eric Yuan:

Pendant les opérations normales, les clients Zoom tentent de se connecter à une série de centres de données principaux dans ou à proximité de la région d’un utilisateur, et si ces multiples tentatives de connexion échouent en raison d’une congestion du réseau ou d’autres problèmes, les clients atteindront deux centres de données secondaires à partir d’une liste de plusieurs centres de données secondaires comme pont de sauvegarde potentiel vers la plate-forme Zoom. Dans tous les cas, les clients Zoom reçoivent une liste de centres de données appropriés à leur région. Ce système est essentiel à la fiabilité de la marque Zoom, en particulier en période de stress Internet massif. »

En d’autres termes, les appels nord-américains sont censés rester en Amérique du Nord, tout comme les appels européens sont censés rester en Europe. C’est ce que Zoom appelle son centre de données «geofencing». Mais lorsque le trafic augmente, le réseau transfère le trafic vers le centre de données le plus proche avec la capacité la plus disponible.

La Chine, cependant, est censée être une exception, principalement en raison des problèmes de confidentialité des entreprises occidentales. Mais les lois et règlements de la Chine exigent que les entreprises opérant sur le continent doivent conserver les données des citoyens à l’intérieur de ses frontières.

Zoom a déclaré en février que « la capacité ajoutée rapidement » à ses régions chinoises pour gérer la demande avait également été mise sur une liste blanche internationale de centres de données de sauvegarde, ce qui signifiait que les utilisateurs non chinois étaient dans certains cas connectés à des serveurs chinois lorsque les centres de données dans d’autres régions étaient indisponible.

Zoom a déclaré que cela s’était produit dans «des circonstances extrêmement limitées». Une fois atteint, un porte-parole de Zoom n’a pas quantifié le nombre d’utilisateurs concernés.

Zoom a déclaré qu’il avait désormais annulé cette liste blanche incorrecte. La société a également déclaré que les utilisateurs du plan gouvernemental dédié de la société n’avaient pas été affectés par le réacheminement accidentel.

Mais certaines questions demeurent. Le blog ne traite que brièvement de sa conception de cryptage. Le Citizen Lab a critiqué la société pour avoir «roulé son propre» cryptage – autrement connu sous le nom de construction de son propre schéma de cryptage. Les experts ont longtemps rejeté les efforts déployés par les entreprises pour créer leur propre cryptage, car il ne fait pas l’objet du même examen et examen par les pairs que les normes de cryptage vieilles de plusieurs décennies que nous utilisons tous aujourd’hui.

Zoom a déclaré pour sa défense qu’il pouvait «faire mieux» sur son schéma de cryptage, qui, selon lui, couvre un «large éventail de cas d’utilisation». Zoom a également déclaré qu’il consultait des experts externes, mais lorsqu’on lui a demandé, un porte-parole a refusé d’en nommer.

Bill Marczak, l’un des chercheurs du Citizen Lab qui a rédigé le rapport d’aujourd’hui, a déclaré à TechCrunch qu’il était «prudemment optimiste» quant à la réponse de Zoom.

« Le plus gros problème ici est que Zoom a apparemment écrit son propre schéma de chiffrement et de sécurisation des appels », a-t-il dit, et « qu’il existe des serveurs Zoom à Pékin qui ont accès aux clés de chiffrement de la réunion. »

« Si vous êtes une entité disposant de ressources suffisantes, obtenir une copie du trafic Internet contenant des appels Zoom cryptés de grande valeur n’est peut-être pas si difficile », a déclaré Marcak.

«L’énorme passage à des plateformes comme Zoom pendant la pandémie de COVID-19 fait des plateformes comme Zoom des cibles attrayantes pour de nombreux types d’agences de renseignement, pas seulement la Chine», a-t-il déclaré. « Heureusement, la société a (jusqu’à présent) pris toutes les bonnes notes en répondant à cette nouvelle vague d’examen de la part des chercheurs en sécurité, et s’est engagée à apporter des améliorations à son application. »

Le billet de blog de Zoom obtient des points pour la transparence. Mais la société subit toujours la pression du procureur général de New York et de deux recours collectifs. Aujourd’hui même, plusieurs législateurs ont demandé à savoir ce qu’il faisait pour protéger la vie privée des utilisateurs.

Will Zoom’s mea culpas être assez?

Peut-être que nous ne devrions pas utiliser le zoom après tout

Traduit de l’anglais de https://techcrunch.com/2020/04/03/zoom-calls-routed-china/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.