Avec l'arrivée du COVID-19, de nombreuses activités qui se déroulaient auparavant en personne ont désormais lieu en ligne. Qu'il s'agisse de la scolarisation des enfants à domicile, du travail à grande échelle à domicile ou du maintien du contact avec les amis et la famille, nous dépendons de plus en plus d'Internet pour rester connectés, et cette tendance semble vouloir se poursuivre.
La vidéoconférence a joué un rôle central à cet égard. En avril 2020, l'entreprise Zoom a annoncé qu'elle comptait 300 millions de participants à des réunions quotidiennes, contre 10 millions en décembre 2019, soit une augmentation de trente fois en quatre mois seulement. En raison de la pandémie, l'application Zoom est devenue l'une des applications les plus téléchargées ces derniers mois. Les étudiants, les enseignants, les familles, les entreprises et les groupes communautaires de toutes tailles utilisent la vidéoconférence pour effectuer des tâches et mener des activités. Il en va de même pour des utilisateurs célèbres, comme Alan Greenspan, l'ancien président de la Réserve fédérale des États-Unis, et Boris Johnson, le Premier ministre britannique. Toutefois, dans quelle mesure les services de vidéoconférence sont-ils sécurisés et que pouvez-vous faire pour vous protéger ?
Dans cet article, nous explorons les questions clés liées à la sécurité de la vidéoconférence et les mesures que vous pouvez prendre pour garantir la sécurité des appels vidéo.
Le gouvernement américain considère que la tendance du télétravail est une question de sécurité nationale, étant donné le potentiel de piratage. La National Security Agency a récemment publié une évaluation de 13 des outils de vidéoconférence les plus populaires.
Voici certains de ses critères de classement :
Vous pouvez lire le rapport complet à cette adresse, mais, en résumé, la NSA conclut que chacun des services de vidéoconférence présente au moins une faiblesse en matière de sécurité. Par exemple :
La NSA a accordé ses meilleurs scores à l'application WhatsApp de Facebook, à Signal (dont WhatsApp utilise le code) et à l'application de messagerie instantanée Wickr. Bien que le rapport de la NSA ne soit pas concluant, il donne un aperçu utile des principaux problèmes liés à la sécurité des vidéoconférences et souligne le fait qu'aucun des produits actuellement sur le marché ne remplit toutes les conditions en matière de sécurité.
Les préoccupations courantes en matière de sécurité des vidéoconférences sont les suivantes :
Autrement dit, une vidéoconférence chiffrée qui sécurise la communication de sorte qu'elle ne puisse être consultée que par les utilisateurs concernés et par aucune autre personne, pas même l'application elle-même. Pour en savoir plus sur le chiffrement des données et son fonctionnement, lisez notre article « Qu'est-ce que le chiffrement des données ? ».
D'autres personnes peuvent-elles espionner l'appel et éventuellement l'enregistrer ? Qui peut se joindre à vos appels et comment pourrait-on y accéder ? Alors que les écoles passent à Zoom pour organiser des cours en ligne, les violations de la vie privée pourraient susciter des préoccupations quant à la protection des enfants. Les réunions Zoom sont accessibles par une URL courte composée de numéros, qui peut être facilement générée et devinée par des pirates informatiques.
Dans quelle mesure les cadres de protection de la vie privée, comme le Règlement général sur la protection des données de l'Union européenne ou la Loi sur la protection du consommateur de Californie, sont-ils respectés ? Dans quelle mesure les applications sont-elles transparentes aux yeux de leurs utilisateurs en ce qui concerne les données collectées et les tiers qui peuvent y accéder ?
Cette question est particulièrement pertinente si vous avez affaire à des renseignements et des documents sensibles.
Par exemple :
Par exemple, Zoom a été critiqué pour sa fonctionnalité de « suivi de l'attention », qui autorise les hôtes à voir si un utilisateur clique en dehors d'une fenêtre Zoom pendant 30 secondes ou plus. Cette fonctionnalité pourrait permettre aux employeurs de vérifier si les employés sont vraiment attentifs lors d'une réunion de travail ou, aux enseignants, de vérifier si les étudiants suivent vraiment une présentation de cours à distance.
Par exemple, les utilisateurs pourraient-ils, sans le savoir, télécharger des applications qui peuvent accéder à la caméra et au microphone ? L'application ou le logiciel malveillant pourrait transmettre des informations personnelles à un pirate informatique qui les divulguerait par la suite.
Sur Zoom notamment : plusieurs vulnérabilités de sécurité de Zoom ont été signalées dans le passé. Par exemple, en 2019, il a été révélé que Zoom avait installé un serveur Web caché sur les appareils des utilisateurs qui pouvait autoriser l'ajout de ces derniers à un appel sans leur autorisation. Un autre bug a permis à des pirates informatiques de s'emparer du Mac d'un utilisateur de Zoom, notamment en se connectant à la webcam et en piratant le microphone. En réponse, Zoom a travaillé pour répondre aux préoccupations en matière de sécurité, et l'entreprise fournit des mises à jour régulières sur son blog.
L'un des exemples de détournement de vidéos dont on a le plus parlé récemment est celui du « zoombombing ». Il s'agit du cas où des pirates informatiques pénètrent dans des salons de discussion en criant des propos racistes ou des menaces violentes. Si le terme « zoombombing » est dérivé de l'application Zoom, des incidents semblables ont également eu lieu sur d'autres plateformes de vidéoconférence, notamment WebEx et Skype. Le 30 mars 2020, le FBI a annoncé qu'il enquêtait sur une augmentation des cas de détournement de vidéos.
Dans des forums comme Reddit ou Discord, certains ont tenté, de manière coordonnée, de perturber des sessions Zoom. Sur Twitter, plusieurs comptes ont diffusé des mots de passe pour des vidéoconférences auxquelles il était possible de participer sans autorisation. Dans certains établissements d'enseignement, certains étudiants ont encouragé le détournement de vidéos comme moyen de perturber des cours en ligne.
Les sessions Zoom compromises : il s'agit de session où des utilisateurs non invités se présentent pour détourner la session en disant des choses obscènes, racistes ou antisémites, ce qui amène l'hôte à fermer la session. Elles sont partagées par des pirates informatiques sur des plateformes de partage de vidéos, comme TikTok et YouTube.
Dans le passé, de simples recherches sur Google pour trouver des URL incluant « Zoom.us » pouvaient faire ressortir des conférences qui n'étaient pas protégées par un mot de passe, permettant ainsi aux pirates informatiques de se joindre facilement à la conférence sans y être invités.
Si les réunions détournées sont source de perturbation et de dérangement pour les participants, une menace potentiellement plus inquiétante est celle des intrus qui se cachent dans les réunions sans révéler leur présence, ce qui présente de sérieux risques tant pour la sécurité des entreprises que pour la vie privée des individus.
Le magazine Forbes a récemment signalé qu'un pirate informatique avait vendu plus de 500 000 identifiants Zoom volés, qui comprenaient des URL de réunions personnelles ainsi que des clés d'hôtes Zoom. Il est probable qu'une grande partie de ces identifiants étaient des mots de passe réutilisés que les pirates informatiques avaient obtenus ailleurs.
En réponse, Zoom a déclaré ce qui suit :
« Nous avons déjà engagé plusieurs sociétés de renseignements pour trouver ces listes de mots de passe ainsi que les outils utilisés pour les créer. Nous avons également fait appel à une société qui a fermé des milliers de sites Web qui tentaient de tromper les utilisateurs en leur faisant télécharger des logiciels malveillants ou en leur faisant dévoiler leurs identifiants. Nous continuons à mener des enquêtes, nous verrouillons les comptes qui se sont avérés compromis, nous demandons aux utilisateurs de rendre leurs mots de passe plus sûrs et nous envisageons de mettre en œuvre des solutions technologiques supplémentaires pour soutenir nos efforts ».
Alors que Skype est largement connu et existe depuis un certain temps, et que les utilisateurs étaient habitués à utiliser FaceTime pour passer des appels vidéo à leurs amis, l'application de vidéoconférence la plus populaire depuis le début de la crise COVID-19 est Zoom.
L'augmentation rapide du nombre d'utilisateurs a attiré les critiques selon lesquelles Zoom n'a pas pris suffisamment au sérieux les préoccupations des utilisateurs en matière de sécurité liée à la vidéoconférence. Le fait que Zoom ne dispose pas (comme certains utilisateurs le pensaient auparavant) d'un chiffrement de bout en bout a suscité l'inquiétude des internautes. Zoom a publié des guides qui expliquent la procédure à suivre pour verrouiller les réunions dans un article de blog et une vidéo. Toutefois, cela implique toujours que les utilisateurs doivent prendre eux-mêmes les mesures nécessaires pour se protéger.
Les particularités concernant la protection de chaque vidéoconférence varient d'une plateforme à l'autre. Il est donc important de vous familiariser avec les détails de la plateforme que vous avez choisie. Cela dit, la plupart des principes de base sont les mêmes, quelle que soit l'application de vidéoconférence que vous utilisez.
Voici quelques conseils clés pour assurer la sécurité des vidéoconférences en ligne :
Faites attention à ce que vous partagez en ligne, y compris ce que vous dites ou faites lors d'appels vidéo. Étant donné le risque que d'autres personnes obtiennent un enregistrement de l'appel ou y participent à l'improviste, faites attention aux informations que vous révélez. Gardez les informations personnelles pour vous, sauf s'il est absolument nécessaire de les dévoiler.
Ne le publiez pas dans des publications publiques sur les réseaux sociaux, dans des emails de groupe, dans des profils en ligne ou dans tout autre endroit où il pourrait être consulté par d'autres personnes. Envoyez une invitation aux participants à partir du logiciel de conférence et demandez-leur de ne pas partager les liens.
Créez des alertes afin de savoir quand les invitations à des réunions sont transmises par email à d'autres personnes. De cette façon, vous pouvez vérifier que les invités supplémentaires sont légitimes et, si ce n'est pas le cas, vous pouvez remettre en question la transmission de l'invitation. Si nécessaire, programmez une nouvelle réunion avec de nouveaux détails de connexion.
La plupart des applications d'appel vidéo vous donnent la possibilité de protéger vos appels par un mot de passe. Choisissez un mot de passe fort et non un mot de passe facile à deviner. Utilisez des mots de passe forts et variés pour vos différentes applications et vos différents services.
Cela permet de s'assurer que personne d'autre ne peut accéder à vos communications. Voici les principales applications vidéo offrant un chiffrement de bout en bout :
Mettez les applications à jour régulièrement. Lorsque des vulnérabilités et des exploits de confidentialité surgissent, ils se retrouvent généralement dans des versions anciennes et obsolètes des applications. Les mises à jour comprennent souvent des correctifs de bogues et de sécurité qui permettront de corriger les problèmes ainsi que les vulnérabilités. Un des meilleurs moyens de se protéger contre les pirates informatiques est de maintenir vos applications de vidéoconférence à jour, car lorsqu'une entreprise publie un correctif pour corriger une faille de sécurité, celui-ci est appliqué au moyen d'une mise à jour. Il s'agit ici d'une précaution de sécurité que vous devez appliquer à tous les niveaux, et pas seulement aux applications de vidéoconférence. Il est facile de maintenir vos applications et vos appareils à jour sur toutes les grandes plateformes. La plupart du temps, vous n'avez rien d'autre à faire que de confirmer les mises à jour. Vérifiez que les participants à la réunion utilisent la version la plus récente disponible.
Toutefois, si un participant autorisé est déconnecté de la réunion, assurez-vous de la déverrouiller pour lui permettre de se reconnecter et de la verrouiller de nouveau lorsque l'utilisateur est de retour.
Ces fonctionnalités placent les participants dans une salle virtuelle séparée avant le début de la réunion et permettent à l'hôte d'accepter uniquement les personnes qui sont censées être présentes dans la salle. Le président ou l'hôte de la conférence devrait contrôler les entrées. Au début de l'appel, invitez chaque participant à prendre la parole pour détecter les participants inconnus.
Il est utile de connaitre les tenants et aboutissants de tout logiciel vidéo avant de l'utiliser, faites donc vos recherches. Prenez le temps de parcourir tous les paramètres et de vérifier votre profil d'utilisateur ainsi que toutes les autres fonctionnalités auxquelles vous pouvez accéder pour vous assurer qu'il n'y a rien à changer. Si quelque chose vous laisse perplexe et que vous ne savez pas comment procéder, prenez-en note et renseignez-vous plus tard pour déterminer si une action est nécessaire.
Il est toujours utile de parcourir vous-même les paramètres de la vidéoconférence pour vérifier s'il existe des fonctionnalités supplémentaires de protection de la vie privée que vous pouvez activer.
Par exemple :
Apprenez à identifier les fausses applications. Vérifiez les notes et les avis des utilisateurs, et méfiez-vous des applications provenant de sites Web non autorisés.
Assurez-vous que la personne avec qui vous tenez la vidéoconférence est digne de confiance avant de partager toute information privée avec elle. N'acceptez pas les demandes de discussion en ligne ni les appels de personnes que vous ne connaissez pas. Ne répondez pas aux appels d'inconnus.
Cette mesure complique l'accès des pirates informatiques aux appareils ou aux comptes en ligne d'une personne, car il ne suffit pas de connaitre le mot de passe de la victime et il est nécessaire de fournir un code PIN supplémentaire.
Les entreprises vous espionneront chaque fois qu'elles le pourront, alors ne les laissez pas faire dans la mesure du possible. Couvrez votre webcam lorsque vous ne l'utilisez pas et assurez-vous de fermer complètement l'application/le programme une fois que vous avez fini de l'utiliser.
Empêchez tous les participants, à l'exception du président ou de l'hôte, d'enregistrer la réunion ou configurez des alertes pour détecter tout participant qui commence à l'enregistrer.
Par exemple, tout ce qui pourrait autoriser le partage d'informations à des tiers, et tout ce qui prétend améliorer votre expérience en accordant aux annonceurs ou aux partenaires l'accès à vos données. Désactivez les paramètres qui permettent à des inconnus de vous trouver, de vous ajouter à leur liste d'amis, de se joindre à votre groupe ou à votre salle, ou de vous envoyer des messages. Désactivez la possibilité pour quiconque de vous enregistrer. Utilisez des mots de passe partout.
Si vous désactivez votre webcam et que vous choisissez de participer à la réunion en mode audio, vous empêcherez que des objets en arrière-plan ne soient utilisés pour en savoir plus à votre sujet. L'utilisation du mode audio uniquement permet aussi d'économiser la bande passante du réseau sur une connexion Internet, ce qui améliore la qualité audio et visuelle de la réunion.
Une diffusion sur le Web est une conférence ou une présentation qui se déroule en ligne. Les participants peuvent regarder la présentation et envoyer des questions au conférencier ou faire participer d'autres délégués. La diffusion sur le Web ne donne le contrôle qu'à l'hôte et à des présentateurs sélectionnés et peut vous aider à mieux contrôler les grandes réunions.
Les fonctionnalités qui font tout l’intérêt des points d’accès wifi gratuits aux yeux des consommateurs offrent parallèlement aux pirates de nouvelles opportunités, comme le fait qu’aucune authentification ne soit nécessaire pour établir une connexion réseau. De telles situations leur donnent en effet une occasion d'accéder librement aux appareils non sécurisés présents sur le même réseau. Prenez vos précautions lorsque vous les utilisez.
Une personne qui a accès physiquement à votre téléphone peut facilement installer des applications de piratage et vous causer des ennuis.
Rappelez-vous : les pirates informatiques et les cybercriminels sont des opportunistes. Ainsi, l'utilisation croissante de la vidéoconférence en a fait une cible. Avec l'évolution de la technologie des appels vidéo, les principaux acteurs devront poursuivre leurs efforts pour assurer la sécurité des utilisateurs.
En attendant, une des façons de rester en sécurité est d'utiliser la protection antivirus de Kaspersky, qui vous protège contre les virus sur votre PC et sur vos appareils Android, sécurise et stocke vos mots de passe ainsi que vos documents privés, et chiffre les données que vous envoyez et recevez en ligne grâce au VPN.
Articles connexes :