Télétravail : comment se positionner face aux failles de sécurité de Zoom

Avril 2020 - Les chercheurs de Check Point Software Technologies ont identifié une technique de cyberattaque qui permet aux cybercriminels d'identifier et de rejoindre les vidéoconférences de Zoom.

Cette découverte a eu lieu en raison du nombre croissant d’entreprises qui encouragent leurs employés à utiliser Zoom et les autres logiciels de vidéoconférence pour communiquer à distance avec leurs collègues et leurs clients en période de confinement. Plus de 10 000 enregistrements privés de vidéos d’entreprises sont actuellement disponibles sur le Web.

L'essor fulgurant de Zoom, qui est récemment passée de 10 millions à 200 millions d’abonnés, a sans aucun doute aidé des millions de personnes à maintenir un nouveau type de normalité alors que nous restons tous indéfiniment à l'intérieur, mais comme de plus en plus de personnes utilisent chaque jour l'outil de vidéoconférence, les risques pour la vie privée liés à l'utilisation de la plateforme ont augmenté en conséquence. Certains compétiteurs vont d’ailleurs tenter de tirer profit de ces failles par la promotion de leur produit. C’est le cas avec Microsoft et son logiciel Team qui diffère toutefois de Zoom, car il s’agit davantage d’un outil de collaboration que de vidéoconférences.

Comment sécuriser Zoom?

Maintenant la cible de nombreuses critiques, Zoom s’engage à résoudre ses problèmes de sécurité et de confidentialité par un plan de sécurité dans les 90 prochains jours. En attendant, l’application de vidéoconférence a annoncé différents moyens de sécuriser sa plateforme en commençant par une politique de confidentialité. Ensuite, diverses mises à jour de sécurité de Zoom ont été mises à votre disposition. Des paramètres de sécurité avancés ont également été établis par la société :
• Exigences supplémentaires pour les mots de passe de vos utilisateurs (la longueur du mot de passe peut être augmentée d'un minimum de 8 caractères à un maximum de 14 caractères, on peut maintenant définir une date d'expiration pour ceux-ci et les utilisateurs peuvent changer leur mot de passe un nombre maximum de fois toutes les 24 heures);
• Seul l'administrateur du compte peut modifier le nom de l'utilisateur, la photo du profil, l'adresse électronique de connexion et la clé d'hôte;
• Masquer les informations de facturation aux administrateurs;
• Utiliser l'authentification à deux facteurs pour les utilisateurs;
• Etc.

Voici les directives officielles d'ARS Solutions concernant l'utilisation de la plateforme (notez que le niveau de sécurité dépend toutefois de la nature de la réunion) :
• Activez l'encryption E2E (point à point) afin d'éviter que quelqu'un tente d'écouter la conversation;
• Faites la configuration de la fonctionnalité de salle d'attente : la fonctionnalité de salle d'attente permet à l'hôte de la réunion de contrôler quand un participant se joint à la conférence. Les gens peuvent être accueillis un à un ou tous en même temps après que leur identité soit validée;
• Activez la fonctionnalité "Attendre l'hôte avant de joindre la conférence" : couplée à la fonctionnalité de la salle d'attente, ça permet à l'hôte de la réunion de valider l'identité de tous avant de débuter la rencontre;
• Assurez-vous de comprendre/connaître la fonctionnalité d'expulsion d'un meeting pour éjecter quelqu'un qui se joint à la réunion sans votre consentement;
• Assurez-vous de désactiver la possibilité pour les participants d'enregistrer la réunion si celle-ci est confidentielle;
• Pour tout ce qui est extrêmement sensible, l'hôte peut faire en sorte qu'il soit impossible de joindre la réunion sans un compte Zoom valide ($);
• Il est fortement recommandé de mettre un mot de passe sur la réunion afin d'éviter que des intrus se joignent à des réunions aléatoires. Il faut voir les réunions Zoom comme des pièces dans un gigantesque édifice. Si on ne verrouille pas la porte, rien n'empêche quelqu'un d'essayer toutes les portes jusqu'à ce qu'il trouve une réunion en cours. Si on verrouille la porte, ça évite d'avoir des éléments indésirables. Il est important de véhiculer le mot de passe de façon sécuritaire, comme verbalement si le meeting est extrêmement confidentiel.

Notre recommandation en date d’aujourd’hui serait de ne pas mettre Zoom de côté pour l’instant. Après tout, si l’on se réfère à Microsoft, qui envoie régulièrement des mises à jour concernant des failles de sécurité sur leurs produits, on peut tout aussi bien laisser la chance à Zoom et voir comment ils vont traiter leur dossier dans les prochaines semaines. Pour l’instant, l’important est bien configurer l’application et d’effectuer toutes les mises à jour pour en sécuriser votre utilisation.

Sources : Radio-Canada et MSSP Alert


Ce à quoi vous consentez en vous inscrivant.

En vous inscrivant sur notre site Web, vous nous autorisez à communiquer avec vous par courrier électronique, téléphone, courrier postal ou tout autre moyen de communication disponible. Soyez sans inquiétude, nous ne vendrons jamais vos informations ni n'envahirons votre boîte de courriels. À tout moment, vous pouvez vous désinscrire de nos communications.