Visioconférence : des réunions pas toujours privées

Depuis le confinement, les entreprises ont intensifié le télétravail et les visioconférences. Une aubaine pour les applications proposant des réunions virtuelles. Leurs connexions ont explosé. Mais toutes n’offrent pas les même garanties en termes de sécurité informatique et de respect de la vie privée…

©Les applications de visioconférence sont utiles et rendent service. Si c’est juste pour organiser un barbecue, vous ne prenez pas trop de risques. Si c’est pour évoquer des projets plus confidentiels, mieux vaut prendre des précautions.

Télétravailleurs, professeurs et même le grand public : tout le monde a (re)découvert le concept de visioconférence. Cela fait des années (Webex a été créé en 1995) que ces solutions sont utilisées, notamment par les grands comptes.

Mais avec le confinement, des professeurs ont également organisé des cours en visio pour avoir un peu plus d’interactions avec leurs élèves. Et les particuliers en ont aussi profité pour « voir » leurs proches ou des amis et organisé des « visio-apéro ».

Résultat, les compteurs des applications de visioconférence se sont affolés avec des croissances de 200% pour certains comme Zoom qui compte quelque 200 millions d’utilisateurs par… jour. Il faut que cette solution soit très ergonomique et très facile à utiliser. Justement, elle est TROP facile à utiliser. Et cela s’est retourné contre cette start-up américaine comme nous allons le voir.

L’outil de visioconférence Microsoft Teams a lui franchi la barre des 75 millions d’utilisateurs actifs par jour. Mi-mars, le service ne comptait que 44 millions d’utilisateurs par jour.

Tous les géants américains du tech proposent de telles solutions. Ce sont donc les grands gagnants du confinement. Mais sommes-nous aussi gagnants ? Peut-être. Mais sous certaines conditions.

Fausses applications, vrais virus

Profitant comme toujours de l’actualité, des pirates ont développé une fausse application Zoom. L’éditeur de sécurité Trend Micro a précisé que ce logiciel malveillant ne provient pas du site officiel de Zoom ni d’aucun App store reconnu. Ce clone est téléchargeable depuis des sites web tiers malveillants. Selon cet éditeur, les victimes auraient été attirées vers ces téléchargements infectés via des emails de phishing.

Une fois le fichier téléchargé, il exécute un installateur qui fournit le logiciel de vidéoconférence ainsi que l’outil d’accès à distance WebMonitor. Cette astuce procure ainsi une porte dérobée qui permet d’observer à distance presque toutes les activités qui se déroulent sur l’ordinateur. Cela inclut l’enregistrement de frappe, l’enregistrement de flux de webcam et la prise de captures d’écran, toutes choses qui peuvent être utilisées pour voler des informations personnelles sensibles.

Autre type d’usurpation : les noms de domaine. Victime de son succès, Zoom a constaté au premier trimestre 2020 plus de 1 700 nouveaux domaines imitant son site !

Des trous partout

Il faut dire que le succès de Zoom a attiré la curiosité d’experts en cybersécurité et des pirates. Résultat, les révélations sur les vulnérabilités de son application se sont multipliées en mars et avril derniers. La situation devenant tellement ingérable, son fondateur Eric S. Yuan (ex-vice-président ingénierie de WebEx, un autre outil de visioconférence) a décidé de bloquer tous les développements informatiques afin que son équipe se concentre durant 90 jours sur la sécurité informatique.

©Zoom

Il est vrai que Zoom est devenu un cas d’école : pas de chiffrements des connexions (ce qui permet à cet éditeur de les intercepter sur ses serveurs), des données qui partaient chez Facebook (à cause d’une mauvaise configuration d’une API…) sans le consentement des utilisateurs, plus de 500 000 comptes en vente sur le dark web… Pire, les failles de sécurité étaient un secret de polichinelle selon une enquête du New York Times.

Zoom n’est pas le seul à afficher des vulnérabilités. Début 2020, Cisco Systems (qui a racheté Webex pour 3,2 milliards de dollars en 2007) a corrigé une vulnérabilité majeure. Elle permettait d’accéder à des réunions protégées par un mot de passe ; il suffisait d’avoir l’identifiant de la réunion et une application mobile Webex pour iOS ou Android.

Rebelote en mars dernier : Cisco Systems a révélé une douzaine de vulnérabilités, dont quatre failles très graves. Une erreur de validation dans l’implémentation SSL de Cisco Intelligent Proximity (une solution qui aide les ordinateurs portables, les smartphones et autres appareils à se connecter automatiquement aux appareils vidéo Webex et aux terminaux de collaboration) pourrait permettre à des attaquants distants de visualiser ou de modifier les informations partagées sur ces dispositifs et terminaux Webex.

Des réunions plus ou moins privées

Comme toute solution technologique, si elle n’est pas correctement gérée, la visioconférence présente des risques pour la vie privée et la protection des données personnelles.
La plupart de ces applications sont dotées de commandes qui peuvent être configurées pour atténuer ces dangers.

Pour participer à une visioconférence, l’organisateur de la réunion envoie généralement un lien par email aux participants. Mais ce lien peut être utilisé par n’importe qui pour accéder à la conférence, et parfois les liens sont publiés sur les sites web et les médias sociaux, en particulier si les réunions sont publiques. Résultat, des personnes non authentifiées peuvent participer à des réunions privées ou les bloquer.

Vie privée

En avril, une enquête de l’organisation américaine Consumer Reports (l’équivalent de 60 Millions de consommateurs) a révélé que Skype, Webex, Hangouts ou encore Teams ont toutes des politiques de confidentialité très permissives. Elles autorisent notamment l’utilisation de ces vidéos pour entraîner des systèmes de reconnaissance faciale.

©Skype

Elles peuvent collecter des données (durée d’un appel, personnes qui y répondent, adresse IP…) pendant que vous êtes en vidéoconférence, les combiner avec des informations provenant de data brokers et d’autres sources pour établir des profils de consommateurs.

De bonnes pratiques

Commencez par désactiver les fonctions de transfert de fichiers : les pirates cherchent à profiter de la popularité croissante de ces applications pour envoyer dans ces salles virtuelles des fichiers malveillants.

Pour réduire les risques, l’organisateur de la réunion doit désactiver les fonctions de transfert de fichiers et utiliser d’autres méthodes, comme le courrier électronique, pour les envoyer.

Mettez toujours à jour votre application. Les mises à jour sont là pour ajouter de nouvelles fonctionnalités ou pour corriger des bugs et des vulnérabilités.

Enfin, il n’y a pas que les géants américains de la tech qui proposent des solutions de visioconférence. Pour un usage personnel (ou en PME/PMI), il est possible d’utiliser
Scaleway , le service framatalk.org de l’association Framasoft ou encore Meet de… l’hébergeur suisse Infomaniak et qui repose sur la solution open source Jitsi.