Appels vidéo et conférences en ligne : comment se protéger des pirates informatiques

Avec l'arrivée du COVID-19, de nombreuses activités qui se déroulaient auparavant en personne ont désormais lieu en ligne. Qu'il s'agisse de la scolarisation des enfants à domicile, du travail à grande échelle à domicile ou du maintien du contact avec les amis et la famille, nous dépendons de plus en plus d'Internet pour rester connectés, et cette tendance semble vouloir se poursuivre.

La vidéoconférence a joué un rôle central à cet égard. En avril 2020, l'entreprise Zoom a annoncé qu'elle comptait 300 millions de participants à des réunions quotidiennes, contre 10 millions en décembre 2019, soit une augmentation de trente fois en quatre mois seulement. En raison de la pandémie, l'application Zoom est devenue l'une des applications les plus téléchargées ces derniers mois. Les étudiants, les enseignants, les familles, les entreprises et les groupes communautaires de toutes tailles utilisent la vidéoconférence pour effectuer des tâches et mener des activités. Il en va de même pour des utilisateurs célèbres, comme Alan Greenspan, l'ancien président de la Réserve fédérale des États-Unis, et Boris Johnson, le Premier ministre britannique. Toutefois, dans quelle mesure les services de vidéoconférence sont-ils sécurisés et que pouvez-vous faire pour vous protéger ?

Dans cet article, nous explorons les questions clés liées à la sécurité de la vidéoconférence et les mesures que vous pouvez prendre pour garantir la sécurité des appels vidéo.

Les appels vidéo et les vidéoconférences en ligne sont-ils sécurisés ?

Le gouvernement américain considère que la tendance du télétravail est une question de sécurité nationale, étant donné le potentiel de piratage. La National Security Agency a récemment publié une évaluation de 13 des outils de vidéoconférence les plus populaires.

Voici certains de ses critères de classement :

• Le service utilise-t-il un chiffrement de bout en bout, qui limite la capacité de tiers à espionner ou à écouter l'appel ?
• Le service utilise-t-il une authentification à plusieurs facteurs, une option qui verrouille les comptes des utilisateurs en toute sécurité ?
• La technologie est-elle basée sur un code source ouvert, publiquement vérifiable, qui est considéré comme plus sûr que les logiciels propriétaires impénétrables ?

• L'outil partage-t-il des données avec des tiers ou des affiliés ?
• Les utilisateurs peuvent-ils supprimer en toute sécurité les données du service et de ses stockages, si nécessaire (tant du côté client que du côté serveur) ?

Vous pouvez lire le rapport complet à cette adresse, mais, en résumé, la NSA conclut que chacun des services de vidéoconférence présente au moins une faiblesse en matière de sécurité. Par exemple :

• Google G Suite et Microsoft Teams ne disposent d'aucun chiffrement de bout en bout et n'utilisent pas de code source ouvert
• Cisco WebEx, Zoom, Slack et Skype for Business présentent des politiques de suppression de données qui ne sont pas optimales
• GoToMeeting ne propose aucune option d'authentification à plusieurs facteurs

La NSA a accordé ses meilleurs scores à l'application WhatsApp de Facebook, à Signal (dont WhatsApp utilise le code) et à l'application de messagerie instantanée Wickr. Bien que le rapport de la NSA ne soit pas concluant, il donne un aperçu utile des principaux problèmes liés à la sécurité des vidéoconférences et souligne le fait qu'aucun des produits actuellement sur le marché ne remplit toutes les conditions en matière de sécurité.

Les préoccupations courantes en matière de sécurité vidéo en ligne

Les préoccupations courantes en matière de sécurité des vidéoconférences sont les suivantes :

Existe-t-il un chiffrement de bout en bout ?

Autrement dit, une vidéoconférence chiffrée qui sécurise la communication de sorte qu'elle ne puisse être consultée que par les utilisateurs concernés et par aucune autre personne, pas même l'application elle-même. Pour en savoir plus sur le chiffrement des données et son fonctionnement, lisez notre article « Qu'est-ce que le chiffrement des données ? ».

Les appels vidéo peuvent-ils être interceptés et enregistrés par un tiers ?

D'autres personnes peuvent-elles espionner l'appel et éventuellement l'enregistrer ? Qui peut se joindre à vos appels et comment pourrait-on y accéder ? Alors que les écoles passent à Zoom pour organiser des cours en ligne, les violations de la vie privée pourraient susciter des préoccupations quant à la protection des enfants. Les réunions Zoom sont accessibles par une URL courte composée de numéros, qui peut être facilement générée et devinée par des pirates informatiques.

Comment les données de votre compte sont-elles utilisées ?

 Dans quelle mesure les cadres de protection de la vie privée, comme le Règlement général sur la protection des données de l'Union européenne ou la Loi sur la protection du consommateur de Californie, sont-ils respectés ? Dans quelle mesure les applications sont-elles transparentes aux yeux de leurs utilisateurs en ce qui concerne les données collectées et les tiers qui peuvent y accéder ?

Où sont stockées les données associées à votre application vidéo sur votre ordinateur ou votre téléphone ?

Cette question est particulièrement pertinente si vous avez affaire à des renseignements et des documents sensibles.

Par exemple :

• Sur Skype, les photos que vous recevez sont enregistrées sur votre appareil, sauf si vous modifiez cette option (sur Android ou iOS, accédez à Messagerie dans les Paramètres pour configurer l'option).
• Sur Zoom, si vous téléchargez le journal de conversation qui accompagne un appel vidéo, il comprendra également toutes les conversations privées en tête-à-tête qui ont eu lieu entre les participants à l'appel. Cela pourrait poser un problème pour les appels professionnels où vous pourriez tenir une conversation privée que vous ne voulez pas dévoiler à un tiers.

Existe-t-il des mesures de surveillance intégrées à l'application ?

Par exemple, Zoom a été critiqué pour sa fonctionnalité de « suivi de l'attention », qui autorise les hôtes à voir si un utilisateur clique en dehors d'une fenêtre Zoom pendant 30 secondes ou plus. Cette fonctionnalité pourrait permettre aux employeurs de vérifier si les employés sont vraiment attentifs lors d'une réunion de travail ou, aux enseignants, de vérifier si les étudiants suivent vraiment une présentation de cours à distance.

Est-il possible de télécharger par inadvertance des logiciels malveillants qui pourraient entraîner des piratages ?

Par exemple, les utilisateurs pourraient-ils, sans le savoir, télécharger des applications qui peuvent accéder à la caméra et au microphone ? L'application ou le logiciel malveillant pourrait transmettre des informations personnelles à un pirate informatique qui les divulguerait par la suite.

Sur Zoom notamment : plusieurs vulnérabilités de sécurité de Zoom ont été signalées dans le passé. Par exemple, en 2019, il a été révélé que Zoom avait installé un serveur Web caché sur les appareils des utilisateurs qui pouvait autoriser l'ajout de ces derniers à un appel sans leur autorisation. Un autre bug a permis à des pirates informatiques de s'emparer du Mac d'un utilisateur de Zoom, notamment en se connectant à la webcam et en piratant le microphone. En réponse, Zoom a travaillé pour répondre aux préoccupations en matière de sécurité, et l'entreprise fournit des mises à jour régulières sur son blog.

Exemples de piratage vidéo en ligne

L'un des exemples de détournement de vidéos dont on a le plus parlé récemment est celui du « zoombombing ». Il s'agit du cas où des pirates informatiques pénètrent dans des salons de discussion en criant des propos racistes ou des menaces violentes. Si le terme « zoombombing » est dérivé de l'application Zoom, des incidents semblables ont également eu lieu sur d'autres plateformes de vidéoconférence, notamment WebEx et Skype. Le 30 mars 2020, le FBI a annoncé qu'il enquêtait sur une augmentation des cas de détournement de vidéos.

Dans des forums comme Reddit ou Discord, certains ont tenté, de manière coordonnée, de perturber des sessions Zoom. Sur Twitter, plusieurs comptes ont diffusé des mots de passe pour des vidéoconférences auxquelles il était possible de participer sans autorisation. Dans certains établissements d'enseignement, certains étudiants ont encouragé le détournement de vidéos comme moyen de perturber des cours en ligne.

Les sessions Zoom compromises : il s'agit de session où des utilisateurs non invités se présentent pour détourner la session en disant des choses obscènes, racistes ou antisémites, ce qui amène l'hôte à fermer la session. Elles sont partagées par des pirates informatiques sur des plateformes de partage de vidéos, comme TikTok et YouTube.

Dans le passé, de simples recherches sur Google pour trouver des URL incluant « Zoom.us » pouvaient faire ressortir des conférences qui n'étaient pas protégées par un mot de passe, permettant ainsi aux pirates informatiques de se joindre facilement à la conférence sans y être invités.

Si les réunions détournées sont source de perturbation et de dérangement pour les participants, une menace potentiellement plus inquiétante est celle des intrus qui se cachent dans les réunions sans révéler leur présence, ce qui présente de sérieux risques tant pour la sécurité des entreprises que pour la vie privée des individus.

Le magazine Forbes a récemment signalé qu'un pirate informatique avait vendu plus de 500 000 identifiants Zoom volés, qui comprenaient des URL de réunions personnelles ainsi que des clés d'hôtes Zoom. Il est probable qu'une grande partie de ces identifiants étaient des mots de passe réutilisés que les pirates informatiques avaient obtenus ailleurs.

En réponse, Zoom a déclaré ce qui suit :

 « Nous avons déjà engagé plusieurs sociétés de renseignements pour trouver ces listes de mots de passe ainsi que les outils utilisés pour les créer. Nous avons également fait appel à une société qui a fermé des milliers de sites Web qui tentaient de tromper les utilisateurs en leur faisant télécharger des logiciels malveillants ou en leur faisant dévoiler leurs identifiants. Nous continuons à mener des enquêtes, nous verrouillons les comptes qui se sont avérés compromis, nous demandons aux utilisateurs de rendre leurs mots de passe plus sûrs et nous envisageons de mettre en œuvre des solutions technologiques supplémentaires pour soutenir nos efforts ».

Comment protéger vos appels Zoom ?

Alors que Skype est largement connu et existe depuis un certain temps, et que les utilisateurs étaient habitués à utiliser FaceTime pour passer des appels vidéo à leurs amis, l'application de vidéoconférence la plus populaire depuis le début de la crise COVID-19 est Zoom.

L'augmentation rapide du nombre d'utilisateurs a attiré les critiques selon lesquelles Zoom n'a pas pris suffisamment au sérieux les préoccupations des utilisateurs en matière de sécurité liée à la vidéoconférence. Le fait que Zoom ne dispose pas (comme certains utilisateurs le pensaient auparavant) d'un chiffrement de bout en bout a suscité l'inquiétude des internautes. Zoom a publié des guides qui expliquent la procédure à suivre pour verrouiller les réunions dans un article de blog et une vidéo. Toutefois, cela implique toujours que les utilisateurs doivent prendre eux-mêmes les mesures nécessaires pour se protéger.

7 conseils pour vous aider à protéger vos appels Zoom

1. Verrouillez la salle de conférence en utilisant des mots de passe et en exigeant une authentification. De cette façon, seules les personnes choisies peuvent participer à l'appel. Retirez les participants indésirables ou perturbateurs.
2. Verrouillez le partage d'écran. De cette façon, seules les personnes choisies peuvent partager leur écran.
3. Attention à ne pas cliquer sur des liens et à ouvrir des documents qui vous ont été envoyés. Vérifiez par un autre canal de communication que l'expéditeur vous a bien envoyé le lien ou le document.
4. Faites attention à ce que vous montrez en arrière-plan. Par exemple, retirez les objets personnels ou les photos de vos enfants si vous ne voulez pas qu'ils soient visibles. Zoom offre également la possibilité de modifier l'arrière-plan derrière vous (d'autres applications de réunion, comme Skype, vous donnent la possibilité de flouter ce qui se trouve derrière vous).
5. Faites attention à ce qui se trouve sur votre écran avant d'utiliser la fonction de partage d'écran. Par exemple, tout autre onglet ou toute autre fenêtre de conversation privée qui pourrait être ouvert, ou tout document qui pourrait afficher des informations financières ou personnelles sensibles. Faites attention à ne pas montrer accidentellement un courrier sur lequel figure votre adresse ou de gros plans involontaires de votre carte d'identité, d'une carte de crédit ou de tout autre objet que vous souhaiteriez garder à l'abri des regards d'un inconnu.
6. Contrôlez vos paramètres. Certains paramètres de sécurité ne sont pas activés par défaut. Zoom présente des paramètres différents pour les ordinateurs de bureau et les appareils mobiles. Les paramètres de l'application pour les ordinateurs de bureau sont plus détaillés et offrent plus de contrôle que ceux de la version pour téléphone portable. Par exemple, les hôtes disposent de plus d'outils de gestion, et les utilisateurs ne peuvent gérer les comptes bloqués que sur un ordinateur de bureau. 
7. Restez informé des mises à jour de l'application. En vous tenant au courant, vous aurez une meilleure idée des différentes fonctionnalités disponibles en matière de protection de la vie privée et de la sécurité.

Comment protéger vos vidéoconférences contre les pirates ?

Les particularités concernant la protection de chaque vidéoconférence varient d'une plateforme à l'autre. Il est donc important de vous familiariser avec les détails de la plateforme que vous avez choisie. Cela dit, la plupart des principes de base sont les mêmes, quelle que soit l'application de vidéoconférence que vous utilisez.

Voici quelques conseils clés pour assurer la sécurité des vidéoconférences en ligne :

Faites attention à ce que vous partagez

Faites attention à ce que vous partagez en ligne, y compris ce que vous dites ou faites lors d'appels vidéo. Étant donné le risque que d'autres personnes obtiennent un enregistrement de l'appel ou y participent à l'improviste, faites attention aux informations que vous révélez. Gardez les informations personnelles pour vous, sauf s'il est absolument nécessaire de les dévoiler.

Vérifiez bien avec qui vous partagez le lien d'invitation

Ne le publiez pas dans des publications publiques sur les réseaux sociaux, dans des emails de groupe, dans des profils en ligne ou dans tout autre endroit où il pourrait être consulté par d'autres personnes. Envoyez une invitation aux participants à partir du logiciel de conférence et demandez-leur de ne pas partager les liens.

Configurez des alertes en cas de transmission de réunions

Créez des alertes afin de savoir quand les invitations à des réunions sont transmises par email à d'autres personnes. De cette façon, vous pouvez vérifier que les invités supplémentaires sont légitimes et, si ce n'est pas le cas, vous pouvez remettre en question la transmission de l'invitation. Si nécessaire, programmez une nouvelle réunion avec de nouveaux détails de connexion.

Choisissez un mot de passe fort

La plupart des applications d'appel vidéo vous donnent la possibilité de protéger vos appels par un mot de passe. Choisissez un mot de passe fort et non un mot de passe facile à deviner. Utilisez des mots de passe forts et variés pour vos différentes applications et vos différents services.

Choisissez un chiffrement de bout en bout dans vos outils de vidéoconférence

Cela permet de s'assurer que personne d'autre ne peut accéder à vos communications. Voici les principales applications vidéo offrant un chiffrement de bout en bout :

• Google Duo
• FaceTime d'Apple
• WebEx de Cisco
• GoToMeeting
• WhatsApp
• Signal

Maintenez vos logiciels à jour

Mettez les applications à jour régulièrement. Lorsque des vulnérabilités et des exploits de confidentialité surgissent, ils se retrouvent généralement dans des versions anciennes et obsolètes des applications. Les mises à jour comprennent souvent des correctifs de bogues et de sécurité qui permettront de corriger les problèmes ainsi que les vulnérabilités. Un des meilleurs moyens de se protéger contre les pirates informatiques est de maintenir vos applications de vidéoconférence à jour, car lorsqu'une entreprise publie un correctif pour corriger une faille de sécurité, celui-ci est appliqué au moyen d'une mise à jour. Il s'agit ici d'une précaution de sécurité que vous devez appliquer à tous les niveaux, et pas seulement aux applications de vidéoconférence. Il est facile de maintenir vos applications et vos appareils à jour sur toutes les grandes plateformes. La plupart du temps, vous n'avez rien d'autre à faire que de confirmer les mises à jour. Vérifiez que les participants à la réunion utilisent la version la plus récente disponible.

Verrouillez la réunion une fois que tous les participants l'ont rejointe

Toutefois, si un participant autorisé est déconnecté de la réunion, assurez-vous de la déverrouiller pour lui permettre de se reconnecter et de la verrouiller de nouveau lorsque l'utilisateur est de retour.

Utilisez les fonctionnalités de salle d'attente des logiciels de vidéoconférence

Ces fonctionnalités placent les participants dans une salle virtuelle séparée avant le début de la réunion et permettent à l'hôte d'accepter uniquement les personnes qui sont censées être présentes dans la salle. Le président ou l'hôte de la conférence devrait contrôler les entrées. Au début de l'appel, invitez chaque participant à prendre la parole pour détecter les participants inconnus.

Maîtrisez les règles

Il est utile de connaitre les tenants et aboutissants de tout logiciel vidéo avant de l'utiliser, faites donc vos recherches. Prenez le temps de parcourir tous les paramètres et de vérifier votre profil d'utilisateur ainsi que toutes les autres fonctionnalités auxquelles vous pouvez accéder pour vous assurer qu'il n'y a rien à changer. Si quelque chose vous laisse perplexe et que vous ne savez pas comment procéder, prenez-en note et renseignez-vous plus tard pour déterminer si une action est nécessaire.

Activez les fonctionnalités supplémentaires de protection de la vie privée

Il est toujours utile de parcourir vous-même les paramètres de la vidéoconférence pour vérifier s'il existe des fonctionnalités supplémentaires de protection de la vie privée que vous pouvez activer.

Par exemple :

• Sur Skype, vous pouvez choisir si les autres utilisateurs peuvent vous trouver au moyen d'un numéro de téléphone ou d'une adresse email.
• Sur FaceTime, vous pouvez contrôler si d'autres personnes peuvent vous trouver au moyen d'un numéro de téléphone ou d'une adresse email. Si vous ne voulez pas être contacté par des amis d'école ou des connaissances lointaines que vous n'avez plus côtoyés depuis longtemps, il peut être utile de désactiver cette option.
• Sur Google Duo, il existe la fonctionnalité Toc Toc, qui permet de montrer votre flux vidéo à vos contacts lorsque vous les appelez avant qu'ils ne décrochent. Si cela ne vous convient pas, appuyez sur les trois points situés dans le coin supérieur droit de l'interface principale de l'application Duo, puis touchez Paramètres et Toc Toc pour la désactiver.

Téléchargez toujours les applications sur l'App Store officiel

Apprenez à identifier les fausses applications. Vérifiez les notes et les avis des utilisateurs, et méfiez-vous des applications provenant de sites Web non autorisés.

Ne discutez qu'avec des personnes que vous connaissez vraiment

Assurez-vous que la personne avec qui vous tenez la vidéoconférence est digne de confiance avant de partager toute information privée avec elle. N'acceptez pas les demandes de discussion en ligne ni les appels de personnes que vous ne connaissez pas. Ne répondez pas aux appels d'inconnus.

Configurez l'authentification à plusieurs facteurs

Cette mesure complique l'accès des pirates informatiques aux appareils ou aux comptes en ligne d'une personne, car il ne suffit pas de connaitre le mot de passe de la victime et il est nécessaire de fournir un code PIN supplémentaire.

Lorsque vous ne passez aucun appel, assurez-vous que l'application n'est pas exécutée

Les entreprises vous espionneront chaque fois qu'elles le pourront, alors ne les laissez pas faire dans la mesure du possible. Couvrez votre webcam lorsque vous ne l'utilisez pas et assurez-vous de fermer complètement l'application/le programme une fois que vous avez fini de l'utiliser.

Empêchez l'enregistrement des réunions

Empêchez tous les participants, à l'exception du président ou de l'hôte, d'enregistrer la réunion ou configurez des alertes pour détecter tout participant qui commence à l'enregistrer.

Désactivez tout élément qui accorde trop d'autorisations à l'application

Par exemple, tout ce qui pourrait autoriser le partage d'informations à des tiers, et tout ce qui prétend améliorer votre expérience en accordant aux annonceurs ou aux partenaires l'accès à vos données. Désactivez les paramètres qui permettent à des inconnus de vous trouver, de vous ajouter à leur liste d'amis, de se joindre à votre groupe ou à votre salle, ou de vous envoyer des messages. Désactivez la possibilité pour quiconque de vous enregistrer. Utilisez des mots de passe partout.

N'utilisez pas le flux vidéo lors d'un appel si vous n'avez pas besoin

Si vous désactivez votre webcam et que vous choisissez de participer à la réunion en mode audio, vous empêcherez que des objets en arrière-plan ne soient utilisés pour en savoir plus à votre sujet. L'utilisation du mode audio uniquement permet aussi d'économiser la bande passante du réseau sur une connexion Internet, ce qui améliore la qualité audio et visuelle de la réunion.

Si vous passez des appels importants, envisagez d'utiliser la diffusion sur le Web plutôt que des réunions vidéo

Une diffusion sur le Web est une conférence ou une présentation qui se déroule en ligne. Les participants peuvent regarder la présentation et envoyer des questions au conférencier ou faire participer d'autres délégués. La diffusion sur le Web ne donne le contrôle qu'à l'hôte et à des présentateurs sélectionnés et peut vous aider à mieux contrôler les grandes réunions.

Soyez prudent lorsque vous utilisez des réseaux Wi-Fi publics

Les fonctionnalités qui font tout l’intérêt des points d’accès wifi gratuits aux yeux des consommateurs offrent parallèlement aux pirates de nouvelles opportunités, comme le fait qu’aucune authentification ne soit nécessaire pour établir une connexion réseau. De telles situations leur donnent en effet une occasion d'accéder librement aux appareils non sécurisés présents sur le même réseau. Prenez vos précautions lorsque vous les utilisez.

Ne confiez votre téléphone qu'à des personnes de confiance

Une personne qui a accès physiquement à votre téléphone peut facilement installer des applications de piratage et vous causer des ennuis.

Rappelez-vous : les pirates informatiques et les cybercriminels sont des opportunistes. Ainsi, l'utilisation croissante de la vidéoconférence en a fait une cible. Avec l'évolution de la technologie des appels vidéo, les principaux acteurs devront poursuivre leurs efforts pour assurer la sécurité des utilisateurs.

En attendant, une des façons de rester en sécurité est d'utiliser la protection antivirus de Kaspersky, qui vous protège contre les virus sur votre PC et sur vos appareils Android, sécurise et stocke vos mots de passe ainsi que vos documents privés, et chiffre les données que vous envoyez et recevez en ligne grâce au VPN.

Articles connexes :

• Que sont les logiciels espions ?
• Chiffrement de l'iPhone : comment chiffrer votre iPhone ?
• Tout sur les escroqueries par hameçonnage et leur prévention : ce que vous devez savoir
• Qu'est-ce que la confidentialité des données ?