Visioconférences : comment sécuriser ses échanges pros ?

Ces conseils aux entreprises et aux utilisateurs finaux devraient contribuer à préserver la confidentialité des réunions et à les mettre à l’abri des intrus.

Lorsqu’une technologie voit sa popularité augmenter rapidement, le nombre de mauvais acteurs profitant d’utilisateurs nouveaux et non formés augmente également. C’est ce que l’on constate aujourd’hui avec les services et les applications de vidéoconférence, comme en témoignent les rapports sur le détournement de la populaire application Zoom – connue sous le nom de « Zoom-bombing ».

De nombreux rapports faisant état de conférences perturbées par des images pornographiques et/ou haineuses et des propos menaçants, le bureau du FBI à Boston a récemment émis un avertissement aux utilisateurs de plateformes de vidéoconférence à propos de ces incidents. Brian Krebs, expert en sécurité et journaliste d’investigation, a fourni des détails sur les problèmes de mots de passe de Zoom et sur la façon dont les pirates informatiques ont pu utiliser des méthodes de « war dialing » pour découvrir les identifiants et les mots de passe des réunions de Zoom.

Si les réunions détournées sont perturbatrices et dérangeantes pour les participants, une menace plus insidieuse est constituée par les intrus qui se cachent dans les réunions sans révéler leur présence – un cauchemar pour la sécurité des entreprises comme pour la vie privée des individus.

Autre cauchemar : selon le Washington Post, des milliers d’enregistrements privés de réunions de Zoom ont été découverts sur le web. Zoom a déclaré à The Verge que ses propres serveurs n’avaient pas été percés et que les vidéos avaient probablement été téléchargées par les utilisateurs vers d’autres services de stockage en ligne. Mais elles ont été facilement trouvées par une recherche parce qu’elles utilisaient la convention de dénomination par défaut de la société pour les enregistrements.

Sécuriser en privatisant les réunions visio

La bonne nouvelle est que de nombreux produits de vidéoconférence comprennent des paramètres de sécurité qui peuvent prévenir de tels incidents. La mauvaise nouvelle est que la configuration de ces paramètres est souvent laissée à des utilisateurs sans formation à la sécurité.

Nous sommes là pour vous aider. Dans le cadre de son avis, le FBI a donné des conseils de sécurité aux entreprises, aux écoles et aux particuliers qui utilisent des services de vidéoconférence. Après avoir discuté avec d’autres experts en sécurité, nous avons développé ces idées pour créer cette liste des choses à faire et à ne pas faire en matière de sécurité des réunions en ligne.

N’utilisez pas de logiciels grand public ou de plans pour les réunions d’affaires. Les outils destinés aux consommateurs n’ont probablement pas tous les outils administratifs dont vous avez besoin pour verrouiller les choses. Bien qu’aucun service de vidéoconférence ne puisse garantir une protection à 100 % contre les menaces, vous disposerez d’un ensemble plus complet d’outils de sécurité avec des produits destinés aux entreprises, dont beaucoup sont proposés gratuitement au cours des prochains mois.

Utilisez les fonctions de la salle d’attente dans les logiciels de conférence. Ces fonctions placent les participants dans une salle virtuelle séparée avant la réunion et permettent à l’hôte de n’admettre que les personnes qui sont censées être dans la salle.

Assurez-vous que la protection par mot de passe est activée. Zoom génère désormais automatiquement un mot de passe en plus de l’identifiant de la salle de réunion. Assurez-vous que votre service utilise à la fois un numéro d’identification de la réunion et une chaîne, mais qu’il dispose également d’un mot de passe ou d’un code PIN distinct. Si le service vous permet de créer un mot de passe pour la réunion, utilisez les meilleures pratiques de création de mot de passe – utilisez une chaîne aléatoire de chiffres, de lettres et de symboles ; ne créez pas un mot de passe facilement devinable comme « 123456 ».

Ne partagez pas de liens vers des téléconférences ou des salles de classe par le biais de messages sur les médias sociaux. Invitez des participants à partir du logiciel de conférence et dites-leur de ne pas partager les liens.

N’autorisez pas les participants à partager l’écran par défaut. Votre logiciel doit proposer des paramètres permettant aux hôtes de gérer le partage d’écran. Une fois qu’une réunion a commencé, l’hôte peut autoriser des participants spécifiques à partager, le cas échéant.

N’utilisez pas de vidéo lors d’un appel si vous n’en avez pas besoin. En éteignant votre webcam et en écoutant par le biais de l’audio, vous évitez les éventuels efforts d’ingénierie sociale visant à en apprendre davantage sur vous par le biais d’objets en arrière-plan. L’audio seul permet également d’économiser la bande passante du réseau sur une connexion Internet, ce qui améliore la qualité audio et visuelle globale de la réunion.

Utilisez la dernière version du logiciel. Les vulnérabilités de sécurité sont susceptibles d’être exploitées plus souvent sur les anciennes versions des logiciels. Par exemple, Zoom a récemment mis à jour son logiciel pour exiger des réunions protégées par un mot de passe, et elle a interrompu ses travaux sur les nouvelles fonctionnalités pour concentrer ses développeurs sur l’élimination des vulnérabilités en matière de confidentialité et de sécurité, ce qui indique que d’autres mises à jour sont à venir. Vérifiez que les participants utilisent la version la plus récente disponible.

Éjectez les participants des réunions si un intrus est capable d’y entrer ou s’il devient indiscipliné. Cela les empêche de se joindre à la réunion.

Verrouillez une réunion une fois que tous les participants ont rejoint l’appel. Toutefois, si un participant valide abandonne, assurez-vous de déverrouiller la réunion pour le laisser revenir et de la verrouiller à nouveau à son retour.

N’enregistrez pas les réunions, sauf si vous en avez besoin. Si vous enregistrez une réunion, assurez-vous que tous les participants savent qu’ils sont enregistrés (le logiciel devrait l’indiquer, mais il est bon de le leur dire aussi) et donnez un nom unique à l’enregistrement lorsque vous le sauvegardez.

Informez tous les employés qui organisent des réunions sur les mesures spécifiques qu’ils doivent prendre dans le logiciel utilisé par votre entreprise pour assurer la sécurité de leurs conférences.

Par exemple, Gabriel Friedlander, le PDG de la société de formation à la sécurité Wizer, a publié sur LinkedIn une liste de paramètres de sécurité recommandés pour les personnes qui utilisent Zoom, que ce soit dans le cadre de leur entreprise ou pour des réunions personnelles. Voici un résumé de ses recommandations :

Désactivez [Vidéo des participants]. Ils peuvent la réactiver une fois que vous leur permettez de s’inscrire.
Désactiver [S’inscrire avant l’hôte].
Désactiver [Utiliser le Personal Meeting ID (PMI) lors de la programmation d’une réunion]
Désactiver [Utiliser le Personal Meeting ID (PMI) pour démarrer une réunion instantanée].
Activer [Nécessite un mot de passe pour la programmation de nouvelles réunions].
Allumer [Mettre en sourdine les participants à l’entrée]
Allumez [Faites jouer le son lorsque les participants rejoignent ou quittent] (ceci est entendu uniquement par l’hôte).
Activer [Partage d’écran] – hôte uniquement
Éteindre [Annotation].
Activer [Salle de réunion] – permet à l’hôte d’assigner les participants à la programmation de la salle de réunion.
Dans les paramètres avancés, les hôtes doivent activer la fonction [Salle d’attente].
Bien que ces paramètres soient spécifiques à Zoom, tout logiciel de vidéoconférence que vous utilisez devrait offrir des paramètres similaires. Si ce n’est pas le cas, il est temps de passer à un produit plus sûr.

Trouver un compromis entre sécurité et simplicité de vos visios

L’une des raisons pour lesquelles Zoom et d’autres services de vidéoconférence ont gagné en popularité est leur facilité d’utilisation pour les utilisateurs finaux, dont beaucoup n’utilisent généralement pas la technologie de façon régulière.

« Les gens ont soif de simplicité lorsqu’il s’agit de technologie, surtout en période de stress comme une pandémie mondiale », a déclaré Reza Zaheri, le fondateur de 1:M Cyber Security, qui propose des formations de sensibilisation à la cybersécurité. « Il faut toujours jongler entre sécurité et facilité d’utilisation lorsqu’il s’agit de produits technologiques.

« Pour généraliser complètement, la majorité des profanes préfèrent ne pas penser aux aspects de sécurité et de respect de la vie privée d’un produit. Lorsque ces fonctionnalités sont intégrées à un produit, et même annoncées comme étant disponibles pour l’utilisateur, la plupart des gens ne configurent généralement pas ces paramètres, et supposent que quelqu’un d’autre gère ces choses en leur nom en arrière-plan ».

Zoom a publié des guides sur le verrouillage des réunions dans un article de blog et une vidéo, mais cela impose toujours aux utilisateurs de se protéger.

M. Zaheri a déclaré que les logiciels devraient avoir des paramètres de sécurité par défaut, avec des paramètres de désactivation qui affichent un message d’avertissement expliquant aux utilisateurs pourquoi il serait risqué de les désactiver.

« Je pense que la majorité des gens qui travaillent à la maison, et qui ne sont pas à l’aise avec la technologie, voudraient des paramètres de sécurité et de confidentialité simples déjà intégrés et activés pour eux », a-t-il déclaré. « Ils veulent juste démarrer le programme et l’utiliser – ces paramètres devraient déjà avoir été configurés pour eux par le fournisseur ».

Éduquer une nouvelle vague d’utilisateurs de la technologie
M. Friedlander, de Wizer, a déclaré que les efforts de piratage autour des services de vidéoconférence se sont multipliés en raison de la croissance des politiques de travail à domicile et d’école à domicile dans le sillage de la pandémie de Covid-19.

« Les pirates et les cybercriminels pensent comme des spécialistes du marketing – ils sont toujours à l’affût des tendances et des moyens de commercialiser leurs escroqueries », a-t-il déclaré. « Le zoom est tendance, le travail à domicile est tendance, les coronavirus sont tendance, donc nous voyons beaucoup de nouveaux types de menaces à cause de cela. Cela touche tout le monde car les gens sont plus dépendants de la technologie aujourd’hui plus que jamais ».

Ce qui est différent aujourd’hui par rapport aux précédentes menaces de sécurité, c’est qu’un tout nouveau groupe d’utilisateurs de la technologie – étudiants, enseignants, membres de la famille et petites organisations comme les studios de karaté, de fitness et de danse – utilisent la vidéoconférence pour donner des cours, souvent sans aucune aide informatique ou de sécurité derrière eux. Les efforts de messagerie traditionnels autour de la formation à la sécurité, tels que les courriels ou les messages Twitter, doivent s’étendre là où ce nouveau public les verra, a déclaré M. Friedlander.

« Si vous voulez atteindre ces personnes, vous devez passer par les canaux qu’elles utilisent actuellement », a-t-il conseillé. « Je vois déjà plus de personnes travaillant dans le domaine de l’informatique et de la sécurité faire des vidéos TikTok. Peut-être que le matériel est le même, mais la façon dont vous le diffusez doit s’adapter aux endroits où les gens peuvent le voir ».