
Quelques semaines seulement après avoir dévoilé une première mise à jour visant à renforcer la sécurité de sa solution de visioconférence, Zoom a annoncé jeudi 7 mai 2020 avoir acquis la start-up Keybase. Fondée en 2014, cette dernière propose un service de stockage de clés de chiffrement qui permet de sécuriser aussi bien les applications de messagerie instantanées que les fichiers hébergés en ligne. Une technologie que Zoom va s’empresser d’intégrer à sa solution pour mettre un coup d’accélérateur à son plan de sécurisation de ses services en 90 jours, décidé en réponse aux critiques quant à sa gestion de la vie privée des utilisateurs.
RASSURER LES UTILISATEURS
Il s’agit du premier rachat jamais réalisé par Zoom, qui doit absolument rassurer le public pour transformer l’essai dans les prochains mois – son principal service a connu une croissance de 2 900% en nombre d’utilisateurs entre le début du confinement de la population dans le cadre de la lutte contre la pandémie de Covid-19 et aujourd’hui. Cette opération, dont le montant n’a pas été communiqué par les parties prenantes, témoigne de l’urgence de la situation pour la société… dont la crédibilité a été mise à rude épreuve. L’un de ses actionnaires a ainsi décidé de la poursuivre en justice au vu de la débâcle médiatique, ayant conduit à son bannissement dans de nombreuses entreprises et organisations publiques dans le semaines qui ont suivi.
Zoom avait largement laisser entendre qu’un chiffrement des conversations était opéré à l’aide du standard AES-256, très sûr... alors que le standard AES-128 était employé dans les faits et ne garantissait pas pleinement la protection des données des utilisateurs. C’est sur ce point que la société californienne a depuis concentré ses efforts. "Une clé unique et éphémère sera désormais générée pour toute conversation lancée [par le biais d’un compte payant, N.D.L.R.]. Les clés de chiffrement seront placées sous le contrôle de l’organisateur de la réunion, qui sera chargé d’inviter chaque participant. Nous estimons que cela permettra de fournir un niveau de sécurité au moins équivalent aux services de messagerie préexistants", a ainsi souligné dans un communiqué Eric Yuan, président-directeur général de Zoom.
SOLLICITER L'AVIS D'EXPERTS EN CYBERSÉCURITÉ
Pour rappel, l’entreprise avait annoncé suspendre le développement de fonctionnalités dès le 1er avril 2020 pour se concentrer sur la seule sécurité de ses solutions. C’est à cette date qu’elle a débauché Alex Stamos, ancien responsable de la sécurité de Facebook, qui a immédiatement apporté quelques correctifs à travers la mise à jour 5.0 de l’outil et apporté la garantie à ses utilisateurs que leurs appels ne transitent pas par des serveurs localisés en Chine – envers qui les soupçons d’espionnage n’ont jamais été aussi forts.
Afin de poursuivre ses efforts en matière de sécurité, Zoom va "solliciter l’avis d’experts" avec pour objectif de déployer une version stabilisée auprès de tous les utilisateurs. La société a, par ailleurs, assuré qu’elle "n’intégrera jamais de porte dérobée (backdoor)" à son système. Un mécanisme qui, en permettant à des tiers d’obtenir l’accès aux échanges s’étant tenus sur une plate-forme, suscite notamment l’intérêt des gouvernements à des fins judiciaires.
A noter que Keybase dispose également d'une solution de stockage cloud, qui pourrait s'avérer tout aussi utile que le chiffrement à son nouveau propriétaire. Face à l'augmentation des appels vidéo passés depuis sa plate-forme, Zoom a dû faire appel à Oracle pour gérer le flux de données.
Réagir