Getty Images/iStockphoto
Visioconférence : Zoom est-il sécurisé ?
Les entreprises peuvent prendre quelques mesures simples pour protéger leurs réunions Zoom, mais elles doivent également envisager des moyens de mieux former leurs employés à l’utilisation du logiciel.
Au début de la pandémie, les services IT se sont démenés pour fournir aux utilisateurs des outils qui leur permettraient de communiquer tout en travaillant depuis leurs domiciles. Cela a déclenché une explosion de l’utilisation de la vidéoconférence, en particulier de Zoom.
Parce que le temps était compté – et parce que le marché de la visioconférence dans son ensemble a été pris au dépourvu face à l’ampleur de la demande –, la sécurité n’a pas été prise en compte de manière aussi rigoureuse qu’elle aurait dû l’être. Zoom n’a pas fait exception, et il n’a pas fallu longtemps pour que des articles détaillent la facilité avec laquelle des hackers pouvaient faire dérailler des réunions virtuelles. Et bien que Zoom – comme d’autres éditeurs – ait pris des mesures pour renforcer sa sécurité, la campagne médiatique de 2020 continue à laisser des traces. Beaucoup se posent encore la question de savoir si la solution de visioconférence Zoom est bien sûre.
Pour répondre à cette question, reprenons les choses dans l’ordre.
Les problèmes de sécurité propres à Zoom
Zoom a été particulièrement touché par les critiques. Les deux principales ont porté sur le chiffrement et sur le routage des communications via des serveurs en Chine.
Zoom a rapidement réglé le second problème. Quant au chiffrement, il s’agissait plus d’un problème de communication que de technique. En résumé, la communication de Zoom avait affirmé à tort que les conférences étaient chiffrées de bout en bout, ce qu’elles n’étaient pas. À l’époque, d’ailleurs, mis à part des solutions comme celle du Français Tixeo ou une offre spécifique de WebEx, aucune alternative clef en main (Google Meet, Teams, etc.) n’était réellement « de bout en bout ».
Depuis Zoom a travaillé pour être chiffré sans points clairs, y compris sur ses serveurs, alors que d’autres en ont toujours.
Quoi qu’il en soit, l’épisode a illustré le fait que tous les outils logiciels présentent des failles de sécurité que des acteurs mal intentionnés cherchent à identifier et à exploiter.
Pour s’assurer que les correctifs de sécurité sont bien installés, Zoom a aussi récemment annoncé la possibilité d’effectuer des mises à jour automatiques de son logiciel client.
En septembre 2021, Zoom est allé encore plus loin en annonçant l’arrivée de mesures supplémentaires (cf. photo ci-dessus) dont la gestion des clefs de chiffrement par les clients, ou des outils pour vérifier que les participants à distance d’une réunion sont bien ceux qu’ils disent être. À ce jour, Zoom fait donc partie des solutions les plus sécurisées du marché.
Problèmes de sécurité liés à l’utilisateur final
Mais le plus important est, peut-être, de former correctement les utilisateurs sur la manière de gérer en toute sécurité les sessions Zoom, avec tous les outils qu’il propose.
Un phénomène, le « Zoombombing », est par exemple devenu une préoccupation majeure. Des sessions mal paramétrées ont permis à des trublions d’accéder à des réunions qui auraient dû être privées, d’en prendre le contrôle ou de les perturber, en partageant et en imposant des contenus douteux avec les participants légitimes. Or ces « Zoombombing », une pratique qui n’est pas liée qu’à Zoom, auraient pu être facilement évités. Mais les organisateurs des réunions parasitées ne savaient tout simplement pas comment protéger correctement leurs invitations et leurs salles virtuelles contre ce genre d’intrusions.
Dans de nombreux cas, les fonctions de sécurité essentielles de Zoom ne sont pas activées par défaut. Ainsi, pour les réunions qui exigent une sécurité maximale, l’activation manuelle de certaines fonctions peut réduire considérablement les risques.
Voici quelques mesures simples pour mieux sécuriser une conférence ou une réunion Zoom :
- permettre aux seuls utilisateurs enregistrés de Zoom de participer à une réunion ;
- exiger que l’hôte admette manuellement les participants dans une salle de réunion ;
- exiger que les participants entrent un mot de passe unique avant d’accéder au hall virtuel de la salle de réunion ;
- modifier les capacités de partage d’écran afin que seul l’hôte puisse partager le contenu ;
- désactiver les fonctions de partage de fichiers et de chat, si elles ne sont pas nécessaires ;
- verrouiller une réunion une fois que tous les participants ont rejoint la salle, de sorte que personne d’autre ne puisse s’y joindre ; et
- programmer des réunions de groupe en utilisant des identifiants de réunion distincts et générés de manière aléatoire, par opposition à l’identifiant de réunion personnel d’un utilisateur, un identifiant statique qui peut facilement être divulgué au public.
Vingt fois, dans la sécurité remettez votre ouvrage
Aujourd’hui, les réunions Zoom sont considérées comme relativement sûres (relativement dans le sens de « autant que faire se peut »). L’éditeur a comblé les principales lacunes en matière de sécurité au sein de sa plate-forme et s’efforce de rester à l’affût des dernières vulnérabilités.
Par conséquent, le plus grand risque pour une organisation – comme c’est généralement le cas – se trouve « entre le fauteuil et le clavier » : des utilisateurs qui ne suivraient pas ou ne comprendraient pas comment sécuriser leurs réunions.
Les entreprises doivent donc envisager un cours de formation sur Zoom ou créer une documentation qui guide les utilisateurs, étape par étape, pour protéger leurs réunions et réduire les risques de fuites ou d’intrusions.