L’outil de vidéoconférence connaît un boom de fréquentations, qui s’accompagne de la découverte de nombreuses failles de sécurité et autres abus en termes de données personnelles. Si Zoom s’active pour résoudre ces différents problèmes, il est néanmoins possible de prendre les devants afin de sécuriser ses réunions.
Avec l’épidémie et les mesures de confinement obligeant de nombreuses entreprises à recourir au télétravail, les solutions de vidéoconférence sont massivement utilisées et Zoom semble le fer de lance de cette tendance. Malheureusement (ou non), qui dit pic d’utilisation dit intérêt accru des hackers, bons ou mauvais. Zoom n’y a pas échappé et de nombreuses failles ont été découvertes dans sa sécurité et dans ses pratiques de confidentialité ces dernières semaines.
Zoom rectifie le tir
Entre le partage de données de l’application iOS, non mentionné dans les règles de confidentialité, avec Facebook, la possibilité de consulter les informations du profil LinkedIn des participants à une réunion, pour les administrateurs de les fliquer, d’envahir une réunion (ou Zoombombing), les vidéos enregistrées accessibles librement en ligne, une vulnérabilité sur Windows, un comportement de malwares sur MacOS... Zoom a fort à faire pour corriger sa trajectoire et force est de constater que, malgré les révélations hebdomadaires, l’entreprise s’efforce de combler les failles.
Ainsi, le 9 avril, Zoom a déployé une mise à jour visant à renforcer la sécurité de la plateforme, avec la bien nommée Security, une fonctionnalité permettant de réduire les risques de Zoombombing. Celle-ci permet d’accéder plus aisément lors d’une réunion à des fonctions de sécurité telles que le verrouillage de la réunion, l’activation de la salle d’attente, la suppression de participants et d’autres options permettant de limiter l’interaction de ces derniers (chat, partage écrans, annotations...). S’y ajoute le masquage des identifiants de meeting, très attendue, l’application desktop n’affichant désormais plus l’ID, l'identifiant de la réunion, dans la barre de titre de l'application de sorte à éviter les fuites accidentelles. Parmi les autres mesures, qui concernent les comptes Basic et Pro sous licence unique gratuite, la salle d’attente est maintenant activées par défaut, de même que les mots de passe pour les réunions.
Des barrières supplémentaires
Des mesures saluées par les experts en sécurité, qui ne nient pas la responsabilité de Zoom dans les très nombreuses failles tout en reconnaissant les efforts de l’entreprise. « L'utilisation massive de cette application a permis de mettre en lumière des failles, peut-on parler de bug bounty malgré eux ? » s’interroge non sans une pointe d’humour Benoît Grunemwald, expert en cybersécurité pour ESET France. Il soulève en outre que, pour mieux protéger les réunions, mots de passe et/ou contrôle des participants par le biais de la salle d’attente s’imposent, ainsi que la limitation du partage d’écran de l’administrateur. Il recommande aussi d’éviter de partager des liens ou des identifiants de réunion sur les médias sociaux, mais aussi de préférer les seconds lors de l’invitation de participants, de sorte à atténuer les risques liés à la recrudescence de domaines malveillants exploitant la marque Zoom.
Du côté de CyberReason, Sam Curry rappelle que les risques pesant sur les réunions sont « plutôt faciles à éviter par de simples changements des paramètres d'utilisation ». Le responsable de la sécurité chez l’éditeur conseille lui aussi de sécuriser les réunions des mots de passe, et par ailleurs de n’autoriser dans les réunions que les utilisateurs authentifiés tout en exigeant le chiffrement des terminaux tiers. Autant de réglages disponibles dans la section Paramètres avancées des clients Zoom.