rocketclips - stock.adobe.com
Visioconférence : Zoom se dote d’une authentification à double facteur
Zoom apporte une brique à ses fonctions de sécurité, pour permettre aux administrateurs de protéger plus facilement les utilisateurs et de prévenir les intrusions et les accès non autorisés aux réunions.
En plus d’un mot de passe, les utilisateurs de Zoom pourront désormais choisir de s’authentifier via un deuxième élément – comme un facteur biométrique ou un SMS sur un numéro de téléphone particulier.
Par principe, l’authentification à double facteur (ou 2FA) permet de s’identifier via deux ou plusieurs éléments de preuve, ou justificatifs, qui authentifient le ou la propriété d’un compte.
Côté bénéfices, cette nouveauté dans Zoom devrait améliorer la pertinence de l’application de visioconférence dans des domaines réglementés et/ou où des données sensibles sont susceptibles d’être échangées lors de réunions à distance. La 2FA renforce en effet drastiquement les conditions d’accès aux salles virtuelles.
Zoom présente également cette nouveauté comme un moyen économique de déployer l’authentification à double facteur pour les petites entreprises et les écoles, pour qui il peut être coûteux de payer pour un service de SSO (Single Sign On).
Avec la 2FA de Zoom, les utilisateurs auront la possibilité d’utiliser des applications d’authentification qui prennent en charge le protocole TOTP (Time-Based One-Time Password) comme Google Authenticator, Microsoft Authenticator et FreeOTP. Ils peuvent aussi demander à Zoom d’envoyer un code par SMS comme deuxième facteur du processus d’authentification du compte.
Lors de l’annonce, Zoom a rappelé qu’il proposait par ailleurs toute une gamme de méthodes d’authentification comme SAML, OAuth, et/ou l’authentification par mot de passe.
L’activation de la 2FA de Zoom est disponible dans les options de sécurité des comptes Zoom pour les administrateurs. Il est une nouvelle brique dans le chemin que Zoom a décidé de prendre pour être reconnu comme un champion de la sécurité, que ce soit avec un vrai chiffrement de bout en bout, ou par d’autres moyens pour répondre aux critiques de ses concurrents.
Niamh Muldoon, directrice de la sécurité chez OneLogin, spécialiste de la gestion des identités et des accès, estime que l’ajout du 2FA était nécessaire étant donné l’augmentation de la popularité de Zoom, et les histoires très médiatisées de ce que l’on a appelé le « zoom-bombing ».
« Mais la sécurité est un voyage en deux étapes. Pour qu’elle soit efficace, il faudra activer le 2FA, puis que les utilisateurs pensent à y avoir recours », prévient-elle.
Les administrateurs peuvent activer le 2FA sur Zoom à différents niveaux : pour toute l’organisation, ou jusqu’à un niveau très granulaire, compte par compte, et – entre les deux – par groupes d’utilisateurs ou par fonction. De plus amples informations sont disponibles en ligne.
Toutefois, Niamh Muldoon souligne que la sophistication des menaces de phishing amène à conclure que la 2FA n’est pas nécessairement efficace à 100 %.
« Zoom devra proposer des formes plus modernes de 2FA comme WebAuthn, qui utilise un chiffrement au niveau de l’appareil pour prévenir jusqu’aux malwares avancés et jusqu’aux attaques par phishing de type “man-in-the-middle” », a-t-elle déclaré.
« WebAuthn est populaire, car il ne nécessite pas de mot de passe et permet d’utiliser des capteurs biométriques comme celui pour les empreintes digitales ou la reconnaissance faciale que les employés utilisent déjà pour déverrouiller leur téléphone ».
Toujours selon elle, si l’authentification multiple est essentielle, les pionniers de la sécurité se tournent déjà aujourd’hui aussi vers l’intelligence artificielle et les techniques de gestion des risques pour améliorer l’authentification, dans des situations où ce risque est accru (par exemple si les utilisateurs ont changé d’appareil, de localisation ou de profil dans l’application).
Pour approfondir sur Outils collaboratifs (messagerie, visio, communication unifiée)
-
Cyberattaque France Travail : la CGT dénonce « des niveaux de sécurité insuffisants »
-
2FA : la synchronisation Cloud de Google Authenticator fait polémique
-
2FA : GitHub déroule son plan sans éviter les concessions
-
Phishing de PyPI : les experts appellent à rendre obligatoire la double authentification