Zoom va limiter la censure sur son architecture d’ici quelques jours

Zoom va limiter la censure sur son architecture d'ici quelques jours

Zoom n’acceptera plus les exigences de Pékin. Après s’être vu prié de supprimer le compte d’un militant des droits de l’homme par le régime chinois la semaine passée, la plateforme de vidéoconférence cherche aujourd’hui à se doter d’un système permettant de limiter les ramifications des lois aux juridictions qui les créent. Dans un billet de blog, la plateforme a indiqué qu’elle publiera « dans les prochains jours » une nouvelle architecture qui lui permettra de restreindre les interdictions en fonction de la zone géographique.

« Cela nous permettra de nous conformer aux demandes des autorités locales lorsqu’elles détermineront que l’activité sur notre plateforme est illégale à l’intérieur de leurs frontières, mais également de protéger ces conversations pour les participants en dehors de ces frontières, où l’activité est autorisée », explique l’état-major de l’entreprise, qui regrette de n’avoir pas prévu un tel système auparavant.

Les exigences de Pékin pourraient donc bien se retourner contre elle. « A l’avenir, Zoom ne permettra pas que les demandes du gouvernement chinois aient un impact sur quiconque en dehors de la Chine continentale », a ainsi fait savoir la direction de Zoom.

publicité

Des limites à la protection de la vie privée

Rappelons que l’entreprise a toutefois mis des limites (payantes) à cette protection de la vie privée. La plateforme a en effet récemment annoncé que les réunions ne seraient cryptées de bout en bout que pour les clients payants, le PDG Eric Yuan ayant déclaré qu’il voulait avoir la possibilité d’intercepter le niveau gratuit pour lui permettre de travailler avec les forces de l’ordre américaines.

« Bien que nous n’ayons jamais eu l’intention de tromper aucun de nos clients, nous reconnaissons qu’il y a une divergence entre la définition communément acceptée du cryptage de bout en bout et la façon dont nous l’utilisons », avait alors déclaré la société.

Epinglée par le groupe de recherche canadien Citizen Lab pour avoir mis en place son propre système de cryptage dans le cadre d’une extension personnalisée du protocole de transport en temps réel, la société a dû procéder à un mea culpa au cours des dernières semaines. « Nous reconnaissons que nous pouvons faire mieux avec notre conception de cryptage. En raison des besoins uniques de notre plateforme, notre objectif est d’utiliser les meilleures pratiques de cryptage pour fournir une sécurité maximale, tout en couvrant le large éventail de cas d’utilisation que nous soutenons », a ainsi fait savoir son PDG.

Zoom nie toute vulnérabilité

Le Citizen Lab a également constaté que l’application fournissait des clés de cryptage à partir de serveurs en Chine à des participants en dehors de l’Empire du Milieu. « Une société qui s’adresse principalement à des clients nord-américains et qui distribue parfois des clés de cryptage via des serveurs en Chine est potentiellement préoccupante, étant donné que Zoom peut être légalement obligé de divulguer ces clés aux autorités chinoises », regrettait le rapport.

L’année dernière, la société a également été prise en défaut pour avoir utilisé un serveur web local sur des instances Mac afin d’éviter un clic supplémentaire aux utilisateurs. Ce serveur s’est avéré contenir une vulnérabilité d’exécution de code à distance. Lorsque le problème a été découvert, Zoom a défendu l’utilisation du serveur web, déclarant à ZDNet qu’il s’agissait d’une « solution légitime à une mauvaise expérience utilisateur, permettant à nos utilisateurs d’avoir des réunions transparentes en un seul clic, ce qui est notre principal différenciateur de produit ».

Le jour suivant, Zoom annonçait qu’elle reviendrait sur le support de son serveur web local dans un patch, expliquant à ZDNet qu’auparavant son changement de cap était en réponse aux commentaires des clients, et non à des préoccupations de sécurité. « Il n’y a jamais eu de vulnérabilité d’exécution de code à distance identifiée », avait alors déclaré la société.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *