Le logiciel de visioconférence est pratique pour tout, qu'il s'agisse de parler aux membres de la famille qui vivent loin ou d'organiser de grandes réunions de travail internationales. Mais certains des logiciels utilisés pour les conférences peuvent ne pas être aussi sécurisés que vous le pensez. Il existe un certain nombre de failles de sécurité dans les logiciels de conférence comme Skype.
Skype est l'un des outils de visioconférence les plus populaires pour un usage personnel et pour les communications professionnelles. Et maintenant, l'application appartient à Microsoft, l'une des plus grandes entreprises technologiques au monde. Vous pouvez donc supposer qu'il n'y a pas de problèmes de sécurité. Malheureusement, ce n'est pas le cas.
En 2018, un chercheur a révélé une faille de sécurité qui permettait à des logiciels malveillants de modifier les ordinateurs des utilisateurs via le mécanisme de mise à jour de Skype. Si les pirates pouvaient tirer parti de cette vulnérabilité, ils pourraient exécuter du code leur permettant un accès complet sur les PC Windows sur lesquels Skype est installé. Les pirates pourraient avoir installé des logiciels, volé des données ou espionné des utilisateurs.
Heureusement, Microsoft avait identifié et corrigé ce problème avant la publication des rapports. Dans un message sur les forums de support Microsoft, un membre de l'équipe Skype a déclaré que ce problème ne concernait que les versions 7.40 et inférieures de Skype. "Le problème était dans le programme qui installe le logiciel Skype --- le problème n'était pas dans le logiciel Skype lui-même", a-t-elle déclaré dans le message. "Le programme d'installation de la version actuelle de Skype pour le bureau Windows (v8) n'a PAS ce problème et il est disponible depuis octobre 2017".
La bonne nouvelle dans ce cas est que Microsoft a corrigé le problème avant que le public n'en soit conscient. Cependant, considérez cela comme un rappel de l'importance de maintenir votre logiciel à jour.
Zoom est une autre option de visioconférence populaire, en particulier pour les entreprises. Mais cela aussi a eu sa part de problèmes de sécurité.
En 2019, le chercheur en sécurité Jonathan Leitschuh a annoncé une vulnérabilité qu'il avait identifiée dans l'application Zoom pour Mac. L'exploit a utilisé le serveur Web local qui s'exécute en arrière-plan pour permettre à Zoom de fonctionner sur Mac. Ce serveur Web local présentait des vulnérabilités qui permettaient aux pirates d'interagir avec lui via des sites Web. Il pourrait même allumer les caméras des utilisateurs sans leur permission. Leitschuh a averti que les pirates pourraient utiliser la vulnérabilité pour activer les caméras afin de recueillir des informations pour les attaques de phishing.
Étrangement, Zoom a d'abord répondu dans un article de blog en niant essentiellement qu'il s'agissait d'un problème. La société a déclaré qu'elle avait publié un correctif mais "nous n'avons pas forcé nos utilisateurs à mettre à jour car il s'agit empiriquement d'une vulnérabilité à faible risque". Ils ont également critiqué le chercheur pour la manière dont il a révélé la vulnérabilité. À certains égards, ce comportement était plus inquiétant que la vulnérabilité elle-même. Pratiquement tous les éditeurs de logiciels sont confrontés à des problèmes de sécurité, mais les entreprises doivent être proactives dans la protection des utilisateurs lorsque des problèmes surviennent.
Zoom est finalement revenu de sa position en disant:"nous avons mal évalué la situation et n'avons pas répondu assez rapidement". Ils ont publié une mise à jour de l'application Mac qui a supprimé le serveur Web local et résolu le problème. Ils se sont également engagés à améliorer leur programme de primes de bogues pour, espérons-le, éviter de tels problèmes à l'avenir.
Une autre vulnérabilité de Zoom a été révélée par Check Point Research en janvier 2020. La société a découvert un problème avec la façon dont Zoom attribue les identifiants de réunion. Ces identifiants sont des chaînes de neuf à 11 chiffres qui désignent une salle virtuelle dans laquelle les participants peuvent se rencontrer. Il est également possible de définir un mot de passe pour les réunions. Mais si les organisateurs ne définissent pas de mot de passe, l'ID de réunion est la seule chose qui permet de garder la réunion privée.
Check Point a découvert qu'ils pouvaient générer de manière aléatoire des identifiants de réunion Zoom. Ils pouvaient alors vérifier rapidement si ces identifiants étaient valides. Au final, ils ont pu prédire environ 4 % des identifiants de réunion générés aléatoirement. Grâce à ces identifiants de réunion, les chercheurs ont pu accéder à des réunions qui auraient dû être privées.
La bonne nouvelle ici était que Zoom semblait avoir appris de ses erreurs précédentes en matière de sécurité. Lorsque Check Point a révélé la vulnérabilité de Zoom, Zoom a rapidement pris des mesures pour la corriger. Ils ont introduit des protections telles que l'ajout d'un mot de passe aux futures réunions par défaut.
Zoom a également modifié son système pour qu'il soit plus difficile pour les étrangers de savoir si un identifiant de réunion est valide ou non. Enfin, ils bloquent les appareils qui recherchent à plusieurs reprises les identifiants de réunion.
Ces changements devraient rendre beaucoup plus difficile pour les pirates de visualiser les réunions Zoom qu'ils ne devraient pas.
Une autre option de vidéoconférence que vous verrez utilisée dans le monde des affaires est la suite Webex Meetings de Cisco et les sites Webex Meetings Online. Ce logiciel avait également sa propre vulnérabilité divulguée en janvier 2020. La vulnérabilité permettait à une personne non autorisée de rejoindre une réunion qui aurait dû être protégée par un mot de passe, même si elle ne disposait pas du mot de passe correct.
La vulnérabilité a profité d'un problème dans l'application mobile Webex, lorsqu'un utilisateur clique sur un lien Web vers une réunion. Le navigateur demande ensuite à l'application de s'ouvrir. L'utilisateur non autorisé pourrait se faufiler à ce stade.
Dans ce cas, Cisco a révélé lui-même la vulnérabilité. La société a également déclaré qu'elle avait corrigé le bogue et qu'aucune mise à jour du logiciel n'était requise.
Avec toutes ces vulnérabilités, il n'est pas facile d'être complètement sûr que votre logiciel de visioconférence est sécurisé. Mais vous pouvez prendre certaines mesures pour améliorer la sécurité de votre visioconférence :
Tout type de logiciel peut être vulnérable aux problèmes de sécurité. Si vous souhaitez essayer quelque chose de différent des logiciels de conférence grand public comme Skype, consultez notre liste des meilleures alternatives gratuites à Skype.
