Comment organiser une conférence Zoom vraiment sécurisée

Nous analysons les paramètres de sécurité de l’une des plateformes de discussion les plus populaires de la planète.

À l’époque où toutes les entreprises du monde entier perdaient de l’argent à cause de la pandémie, Zoom a vu son chiffre d’affaires augmenter de 370 % en un seul trimestre, devenant ainsi un nom connu dans le monde entier et un verbe en même temps. Dès le début, le service a dû affronter des questions très pointues à propos de la sécurité et on peut dire qu’ils se sont bien défendus : leurs développeurs ont fait de leur mieux pour agir rapidement.

Au vu des mécanismes de sécurité renforcés de Zoom, voici comment vous pouvez (et devez) configurer la plateforme pour assurer une protection maximale quand vous utilisez Zoom.

1. Rendre la réunion unique

Vous pouvez organiser une conférence Zoom soit avec un numéro personnel de réunion (NPR) soit avec un lien unique pour une réunion ponctuelle. Associé à un compte utilisateur, le NPR demeure inchangé pendant une année complète après la dernière connexion, ce qui fait que n’importe quelle personne qui a participé à au moins une réunion avec le NPR peut participer à d’autres discussions qui auront lieu dans le futur avec le même numéro, même si vous ne l’avez pas invitée. De ce fait, il vaut mieux éviter d’utiliser les liens personnels et il est préférable de créer un lien différent pour chaque réunion (cela ne prend qu’une seconde).

2. Invitation requise

Publier un lien à la vue de tout le monde est dangereux. C’est comme écrire avec de la peinture à la bombe les coordonnées de la réunion sur un mur et espérer que personne ne le remarque. Partagez l’information individuellement avec chaque participant, soit par e-mail, via une application de messagerie ou tout autre moyen de communication. Si au milieu d’une réunion vous vous rendez compte qu’un participant n’est pas présent, vous pouvez lui envoyer une invitation directement depuis Zoom.

3. Contrôler les participants

Même si vous avez personnellement envoyé un lien à un ami ou à un collègue, cela n’exclut pas le fait que des intrus peuvent rejoindre l’appel via ce dernier. Il peut s’agir de votre ami qui a peut-être passé le lien à quelqu’un d’autre, d’un petit frère malicieux ou d’un hacker.

La salle d’attente permet de s’assurer qu’il n’y a aucun invité surprise dans la réunion. Si vous activez cette fonctionnalité, les participants sont placés dans la salle d’attente jusqu’à ce que vous vérifiiez les noms et que vous décidiez de les laissez entrer ou non.

Imaginons par exemple que vous devez parler de quelque chose avec seulement quelques personnes, vous pouvez renvoyer quelqu’un dans la salle d’attente même si une réunion a déjà commencé. Vous avez également la possibilité d’utiliser la salle d’attente pour tout le monde ou seulement pour les invités qui ne sont pas connectés à leur compte Zoom.

4. Verrouiller la réunion Zoom

Une fois que tous les participants ont rejoint la réunion, vous pouvez la verrouiller afin que plus personne ne puisse y rentrer. Ainsi, même si le lien de votre réunion est disponible aux yeux de tous, ils ne pourront plus l’utiliser. Cette fonctionnalité est d’ailleurs l’un des moyens les plus efficaces pour combattre le Zoombombing, qui se caractérise par une intrusion non désirée dans les conférences Zoom, une pratique qui était courante pendant la pandémie.

5. Activer le chiffrement de bout en bout

Zoom a longtemps utilisé le chiffrement point à point (P2PE) qui stockait les clés privées sur le serveur. Le chiffrement P2PE protège contre une simple interception de données mais si un pirate informatique s’empare du serveur de Zoom, il peut déchiffrer les conversations.

Par conséquent, les développeurs de la plateforme ont inséré dans cette dernière le chiffrement de bout en bout (E2EE) qui permet de stocker les clés uniquement sur les dispositifs des utilisateurs. Activez le chiffrement de bout en bout et un bouclier vert avec un cadenas apparaîtra dans le coin supérieur gauche de votre écran Zoom. Cette icône signifie que vous êtes protégé contre l’espionnage.

Sachez que le chiffrement de bout en bout est désactivé par défaut pour une raison bien précise. S’il est activé, les participants qui utilisent un compte Lync ou Skype, la version en ligne client web Zoom ou n’importe quel service tiers de Zoom, ne pourront pas rejoindre la réunion. De plus, les utilisateurs possédant un compte gratuit devront confirmer leur numéro de téléphone et ajouter un moyen de paiement.

6. Vérifier si le canal est sécurisé

Vous pouvez vérifier à tout moment si des inconnus ont réussi à se connecter à votre canal via une attaque de l’homme du milieu. Si vous cliquez sur le bouclier, vous verrez une clé secrète apparaître. L’organisateur la lit à voix haute et les participants la comparent avec la leur. La clé numérique est directement liée au mécanisme de chiffrement de bout en bout qui relie les dispositifs des participants. Si la clé de l’organisateur correspond à celle des autres participants, cela signifie que la connexion entre les deux parties n’a pas été compromise. Si c’était le cas et qu’un pirate informatique s’était introduit, la série de numéros serait différente.

Lorsque le rôle d’organisateur est transféré à un autre participant ou qu’une personne rejoint ou quitte la réunion, le système crée une autre clé secrète que les participants peuvent vérifier de nouveau.

7. Une protection maximale

Pour cacher votre adresse IP ou l’appel lui-même des intrus, assurez-vous de vous connecter en utilisant une connexion sécurisée comme Kaspersky Secure Connection. L’utilisation d’un VPN est également primordiale pour passer des appels via un réseau Wi-Fi public.

Pensez également à utiliser une solution de sécurité fiable, même si la sécurité de Zoom a été améliorée, car la plateforme ne peut rien faire contre un malware déjà installé sur le dispositif d’un des participants.

Conseils