Zoom est désormais une infrastructure critique. C'est une préoccupation

C’est une vulnérabilité de cybersécurité qui aurait été inimaginable pas plus tard que l’année dernière: une seule société californienne, Zoom, est désormais la base de l’accès à l’éducation de l’école primaire jusqu’aux études supérieures. Il est également devenu un outil essentiel pour de nombreuses entreprises. Lorsque Zoom tombe en panne, les enseignants ne peuvent pas enseigner, les étudiants ne peuvent pas apprendre et les réunions d’affaires, les conférences et les webinaires s’arrêtent.

Cela a été démontré de façon dramatique le lundi 24 août lorsqu'une panne généralisée a empêché de nombreux utilisateurs d'accéder à Zoom. Juste avant 6 heures du matin, heure du Pacifique, la société a reconnu le problème dans un communiqué, en écrivant: «Nous enquêtons actuellement et nous fournirons des mises à jour au fur et à mesure que nous les aurons.» Une heure plus tard, Zoom a déclaré qu'il avait «identifié le problème» et qu'il «travaillait sur un correctif». Enfin, plus de trois heures après avoir reconnu le problème pour la première fois, Zoom a annoncé que «nous avons résolu le problème».

Rien n'indique que la panne était d'origine malveillante. Et il a été résolu relativement rapidement, bien que pour les enseignants, les étudiants et les participants aux réunions d'affaires qui se sont trouvés incapables de se réunir, pas assez rapidement. Sans informations concernant les détails de la conception et de la protection des systèmes Zoom, il est difficile d’identifier les plus grandes sources de risque pour de futures interruptions de service. Mais le fait que l'incident du 24 août se soit produit souligne la possibilité que de futures pannes de service, que ce soit en raison d'une défaillance des systèmes ou d'une cyberattaque, pourraient laisser les salles de classe et les réunions d'affaires fermées beaucoup plus longtemps.

Il n’ya rien de nouveau dans la dépendance aux technologies numériques, qui sous-tendent plusieurs des 16 secteurs d’infrastructure essentiels du Département de la sécurité intérieure, notamment les «services financiers», les «communications» et les «technologies de l’information». Mais dans de nombreux secteurs verticaux de ces secteurs, tels que les services bancaires ou de téléphonie mobile, aucune entreprise ne domine le marché. Une cyberattaque mettant hors ligne une banque de premier plan ou un fournisseur de réseau de téléphonie mobile pendant quelques heures serait un événement majeur et un énorme inconvénient pour des milliers de particuliers et d'entreprises, mais elle ne fermerait pas l'intégralité du système financier ou des communications cellulaires mobiles. . En revanche, une cyberattaque réussie ciblant Zoom pourrait mettre un terme à l'éducation et à une énorme quantité d'activités commerciales.

Un autre défi est que Zoom est une entreprise relativement jeune (fondée en 2011) qui a connu des difficultés de croissance liées à la sécurité. En mars 2020, la société a été largement critiquée pour une affirmation douteuse selon laquelle elle soutenait le cryptage de bout en bout pour les vidéoconférences. Tel qu’il est normalement utilisé, le terme fait référence à l’échange de contenu chiffré entre deux utilisateurs finaux de manière à ce qu’il ne puisse pas être déchiffré pendant son transit, pas même par l’entreprise qui gère les serveurs par lesquels il passe. Par exemple, comme Apple l'explique à propos d'iMessage et de FaceTime, «il n'y a aucun moyen pour Apple de décrypter le contenu de vos conversations lorsqu'elles sont en transit entre des appareils.»

L’approche de Zoom était différente. Comme l'expliquait un article de mars dans The Intercept, Zoom utilisait en fait «le cryptage de transport, qui est différent du cryptage de bout en bout car le service Zoom lui-même peut accéder au contenu vidéo et audio non crypté des réunions Zoom. Ainsi, lorsque vous avez une réunion Zoom, le contenu vidéo et audio restera privé de toute personne espionnant votre Wi-Fi, mais il ne restera pas privé de l'entreprise.  » Alors que Zoom a par la suite annoncé qu'il travaillait sur un nouveau logiciel qui lui permettrait d'introduire un cryptage de bout en bout, le fait qu'une confusion sur ce point soit apparue est préoccupant du point de vue de la sécurité.

Il existe de nombreuses alternatives à Zoom, notamment Skype, Webex et GoToMeeting. Le défi bien sûr, c'est que Zoom a bénéficié d'un énorme effet de réseau. Le temps que les gens ont investi pour apprendre à utiliser Zoom et les licences que les entreprises et les universités ont signées pour en faire leur principale plateforme d'interactions vidéo en temps réel créent de fortes incitations à ne pas adopter une alternative. Tout comme la plupart des gens ne voudraient pas acheter et transporter deux téléphones mobiles, chacun étant connecté à un réseau cellulaire différent au cas où l'un des réseaux tomberait en panne, les organisations ne voudront pas payer pour des licences sur des plates-formes de visioconférence non-Zoom qui ils peuvent rarement ou jamais en avoir besoin. Et les gens qui ont passé des heures à s'habituer à Zoom ne veulent pas recommencer sur une autre plate-forme.

Ensemble, ces facteurs signifient que nous ne sommes pas susceptibles de secouer notre dépendance à Zoom de si tôt. C’est un problème, car si une liste de secteurs d’infrastructure essentielle était créée à partir de zéro aujourd’hui, elle inclurait probablement la vidéoconférence en tant que secteur distinct. Les organisations qui comptent sur la visioconférence – et aujourd'hui, c'est la plupart des organisations – seraient bien servies pour mettre en place des plans de sauvegarde afin de minimiser les interruptions dues à de futures interruptions de zoom.


Apple est un donateur général et sans restriction de la Brookings Institution. Les résultats, interprétations et conclusions affichés dans cet article sont uniquement ceux de l'auteur et ne sont influencés par aucun don.

Vous pourriez également aimer...