Note: Cet article a été rédigé initialement le 14 avril 2020 et mis à jour le 23 avril 2020. Zoom met régulièrement en place des correctifs de sécurité qui peuvent régler certaines des problématiques abordées dans cet article et dans le webinaire.
L’application de visioconférence Zoom est devenue TRÈS populaire depuis le début de la pandémie de COVID-19. Pour preuve, la plateforme aurait atteint en mars plus de 200 millions de participants aux réunions quotidiennes. L’application en comptait 10 millions en décembre dernier. Finalement, sa valorisation boursière a plus que doublé depuis le mois de janvier.
Mais voilà, maintenant que la plateforme est adoptée, on est à se demander si elle est véritablement sécuritaire. En quelques jours seulement, plusieurs vulnérabilités ont été découvertes et ont été relayées par les médias. Certains se plaignent également que des malfaiteurs ont réussi à s’inviter dans des salles virtuelles et ont proféré des obscénités. Devons-nous changer de plateforme? Est-ce adapté au télétravail? Mardi 7 avril dernier, nous avons donné un webinaire gratuit pour répondre à ces questions.
Ce webinaire s’adressait à toute personne en entreprise qui se demande si elle peut continuer à utiliser la plateforme ou bien si elle doit migrer vers une autre. Nous avons également mis de l’avant des actions qui peuvent être faites dès maintenant du côté des utilisateurs et des administrateurs TI pour favoriser une utilisation sécuritaire de la visioconférence, quelle que soit la plateforme.
Cette conférence a mis en scène Jean-Philippe Racine, Président de Groupe Cyberswat, ainsi que Clément Gagnon Propriétaire de Tactika inc. Nous avons décidé de vous offrir un résumé sommaire des points qui ont été abordés lors de ce webinaire pour faciliter la mise en place de bonnes pratiques.
Les plateformes de visioconférences sont en pleine expansion
Avec la pandémie mondiale et donc, une explosion du télétravail dans le monde, les plateformes de visioconférence ont connu une expansion sans précédent. Comme c’était prévisible, des personnes malveillantes ont cherché à profiter de cet outil populaire pour mettre le bordel dans des conférences ou encore se faire de l’argent par divers moyens. Des chercheurs ont également étudié davantage le fonctionnement de la plateforme. Plusieurs failles de sécurité, ou encore des problèmes de configurations, ont alors été découvertes sur Zoom.
À défaut d’avoir été proactif, Zoom s’est engagé dans les prochains 90 jours à faire passer la cybersécurité de sa plateforme en priorité; toutes les ressources nécessaires vont être déployées pour identifier et corriger les failles de sécurité plutôt que de s’atteler au développement de nouvelles fonctionnalités. Aussi, ils s’engagent à être transparent tout au long du processus.
Les principales failles de sécurité de Zoom identifiées sont les suivantes :
- Zoombombing – résolu
- Partage d’information avec Facebook – résolu
- Lien cliquable vers un site malicieux – résolu dans la version April 2, 2020 Version 4.6.9 (19253.0401)
- Chiffrement qui n’est pas de bout en bout
- Chiffrement faible (AES 128 ECB) – en cours de résolution
- Communications redirigées vers la Chine – résolu
- Divisions de Zoom en Chine
- Rapport sur la « transparence »
- « Tracker » d’attention – résolu
Pour plus d’information sur la nature de ses failles et les risques qui en découlent, nous vous invitons à écouter notre webinaire où nous prenons le temps de les expliquer une par une.
Les 10 choses à mettre en place maintenant si vous utilisez Zoom:
- Mot de passe pour rejoindre une réunion (proposé désormais par défaut)
- Activation de la salle d’attente
- Bloquer la réunion lorsque tout le monde est en ligne
- Ne pas utiliser la fonction « numéro de salle personnel »
- Bloquer le clavardage si pas nécessaire
- Limiter le partage d’écran à l’organisateur de la réunion
- Mettre à jour le client Zoom
- Prioriser l’enregistrement vidéo « en local »
- Configurer l’authentification en 2 étapes pour les détenteurs de licences Zoom
- Configurer une clé d’hôte de 10 chiffres au lieu de 6
Voici des plateformes alternatives à Zoom:
Même si c’est Zoom qui fait la une de la presse depuis quelques semaines, cela ne veut pas dire que les plateformes suivantes sont 100% sécuritaires. Nous vous recommandons d’être toujours vigilent peu importe les outils utilisés. Et n’oubliez pas ; une bonne partie de la sécurité en place dépend de comment vous configurez et utilisez la plate-forme.
- Microsoft Teams/Skype
- Cisco WebEx
- Google hangout/Hangouts Meet
- Adobe Connect
- Jitsi
- Whereby
- BlueJeans
D’autres alternatives, québécoises cette fois-ci:
- SVI eSolutions (Entreprise de Québec)
- PQM studio cast (Orienté webinaire et entreprise de Rimouski)
Peu importe la plateforme utilisée, certaines actions peuvent être faites pour sécuriser vos visioconférences d’affaire:
- Chaque participant pourrait s’identifier (ouvrir la caméra) pour s’assurer qu’il s’agit de la bonne personne
- Éviter de communiquer et de partager des renseignements personnels et confidentiels
- Demander la permission avant d’enregistrer
- Utiliser un casque d’écoute ou être dans une salle fermée
En conclusion, utiliser Zoom : OUI mais pas pour discuter d’informations confidentielles (enfin, pour l’instant!)
Zoom n’est pas devenu leader sur le marché pour rien. Cette plateforme est très bien construite et permet notamment de proposer des webinaires pouvant accueillir des milliers de personnes et ce, de façon efficace. Zoom dispose aussi de l’une des interfaces les plus facile d’utilisation, ce qui n’est pas un avantage négligeable.
Aussi, Zoom offre très régulièrement des mises à jour pour corriger les failles de sécurité qui ont été identifiées donc sa posture en sécurité devrait s’améliorer dans les prochaines semaines; enfin, on l’espère!
De plus, il faut aussi faire une distinction claire entre la version gratuite et la version payante; cette dernière donne accès à davantage de fonctionnalités et permet d’avoir un meilleur contrôle sur la configuration de sécurité à mettre en place dans un contexte corporatif.
En prenant en compte tous ces aspects, nous tirons la conclusion suivante : vous pouvez continuer d’utiliser Zoom pour vos réunions et webinaire MAIS uniquement si vous ne discutez pas d’informations confidentielles.
Par exemple, utiliser la plateforme Zoom pour :
- Donner des webinaires ouverts aux grands public: Oui
- Faire des appels vidéo avec sa famille, des amis: Oui
- Faire des réunions d’affaires pour discuter de besoins, recommandations et autre information « interne » qui ne sont pas nécessairement confidentielles: À évaluer à l’aide d’un expert
- Pour discuter de propriété intellectuelle, de demande de brevets, renseignements personnels d’employés ou clients et autres renseignements sensibles de cette catégorie: Déconseillé
Si voulez approfondir le sujet et (ré)écouter notre webinaire complet sur le sujet, nous vous invitons à cliquer sur le lien ci-dessous: Accéder au webinaire. Chaque point de cet article y est discuté de façon bien plus approfondie et nous avons aussi pris le temps de répondre à de nombreuses questions des participants sur le sujet. Peut-être est-ce les mêmes questions que vous vous posez présentement?
