Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Zoom renforce sa sécurité avec le chiffrement de bout en bout pour Zoom Phone et l’identification vérifiée

septembre 2021 par Marc Jacob

Zoom Video Communications, Inc. a donné le coup d’envoi de son événement Zoomtopia 2021, et a annoncé de nouvelles améliorations de la sécurité axées sur le cryptage et l’identification vérifiée. Elles sont au nombre de trois : la première étend le chiffrement de bout en bout (E2EE) à Zoom Phone, les deux autres nouvelles technologies sont une offre Bring Your Own Key (BYOK) et l’identité vérifiée. Les options de cryptage multiples et la vérification de l’identité annoncées permettent constituent un élément clé de la stratégie de sécurité évolutive chez Zoom.

Initialement disponible dans Zoom Meetings, le chiffrement de bout en bout (E2EE) sera étendu à Zoom Phone. Les utilisateurs auront une nouvelle option pour passer à E2EE pendant les appels téléphoniques individuels sur Zoom Phone. Pendant un appel, il faut cliquer sur "Plus" pour trouver l’option permettant d’activer le cryptage de bout en bout. La mise à niveau prend moins d’une seconde et permet aux utilisateurs de bénéficier d’une protection contre la compromission du serveur. Les utilisateurs peuvent éventuellement échanger des codes de sécurité sur le canal vocal afin d’exclure la présence d’un "intrus". E2EE pour Zoom Phone sera disponible dans le courant de l’année prochaine.

La technologie BYOK (Bring Your Own Key), permettra à chacun de gérer directement ses clés de chiffrement. Cette technologie offrira la possibilité aux clients ayant des exigences de conformité strictes ou des besoins de résidence des données de fournir et de gérer leurs propres clés de cryptage. Avec l’offre BYOK, Zoom et le client sont tous deux responsables de l’établissement d’un cadre de sécurité. Les clients qui utilisent BYOK possèdent et gèrent un système de gestion des clés (KMS) dans AWS, qui contient une clé maîtresse du client (CMK) à laquelle Zoom n’a pas accès. Zoom interagit avec le KMS du client pour obtenir des clés de données pour le cryptage et le décryptage et utilisera ces clés de données pour crypter et décrypter les actifs du client avant que ces actifs ne soient écrits sur le stockage à long terme. Zoom ne stockera pas les clés de données en clair dans le stockage à long terme des données.
BYOK est une offre distincte de E2EE et n’est pas conçue pour les cas d’utilisation en temps réel comme le streaming vidéo. Il est préférable de l’utiliser pour le stockage sécurisé de ressources plus importantes, telles que des fichiers d’enregistrement.

BYOK sera lancé en version bêta dans les mois à venir pour les enregistrements de Zoom Meetings, les enregistrements de Zoom Video Webinars, les messages vocaux et les enregistrements de Zoom Phone, et le calendrier de Zoom Rooms.

L’identification vérifiée est une fonctionnalité attendue qui permettra de mieux protéger les données personnelles des utilisateurs. L’authentification et l’attestation de l’identité peuvent aider à déterminer si un invité à une réunion est bien celui qu’il prétend être. Un programme de vérification de l’identité permet d’avoir des discussions plus sûres impliquant des informations classifiées, permet des services spécialisés et donne la priorité à la protection de l’identité. Il déploie une authentification multifactorielle pour réduire les risques, en s’appuyant sur une combinaison des éléments suivants pour contrôler les utilisateurs comme par exemple leur rôle dans l’organisation, leurs informations d’identification, les appareils ou applications en leur possession (codes, données biométriques et adresses électroniques).

Pour que l’attestation et l’authentification fassent partie intégrante de l’expérience, Zoom travaille avec Okta pour aider à vérifier les utilisateurs lorsqu’ils rejoignent Zoom Meetings. Une fois dans une réunion, un utilisateur aura une coche à côté de son nom et pourra partager les informations de son profil vérifié - y compris son nom, son adresse e-mail et le domaine de son entreprise - avec les participants à la réunion. Les hôtes de la réunion peuvent utiliser les contrôles de sécurité de la réunion pour retirer un participant si, pour une raison quelconque, il n’est pas vérifié ou si les informations affichées semblent incorrectes.


Voir les articles précédents

    

Voir les articles suivants