Conseils sur l’utilisation de Zoom

Publié le 8 avril 2020 par Équipe des communications

En raison de la COVID-19 de nombreuses entreprises ont dû rapidement se tourner vers des solutions de vidéoconférence pour continuer à faire des affaires. Alors que des millions de travailleurs du monde entier ont soudainement été forcés de travailler à distance, des préoccupations au sujet de la vidéoconférence et de la protection de la vie privée ont fait surface. Beaucoup d’entre vous ont vu des articles sur la confidentialité Zoom dans les fils d’actualité. Le kit de développement de logiciels (SDK) de Facebook a été la pointe de l’iceberg pour les questions de confidentialité de Zoom, dont beaucoup d’autres ont surgi ces derniers jours. La protection de la vie privée doit être importante pour tout le monde et, à ce titre, nous devons prendre au sérieux ces récents articles de presse et l’impact sur notre vie privée et notre environnement de travail.

Les articles récents soulèvent plusieurs questions qui peuvent être classées en cinq enjeux. Vous trouverez également quelques conseils que vous pourriez mettre en œuvre pour ajuster votre utilisation de l’outil et adopter des recommandations de sécurité supplémentaires.

Notre conseil

Nous conseillons de mettre à jour Zoom à la dernière version, et de suivre les pratiques de sécurité normales telles que celles énumérées ci-dessous et recommandons à nos employés l’utilisation continue de Zoom selon le cours normal des choses.

Comme toute technologie ou solution commerciale similaire, si vous échangez des informations classifiées dans des secteurs ciblés par l’espionnage, une évaluation des risques plus complète devrait être effectuée.

Zoombombing

Les nouvelles d’une enquête du FBI sur Zoom se rapporte à un phénomène récent appelé "Zoombombing". Zoombombing fait allusion à des pirates informatiques qui tentent d’infiltrer des séances de vidéoconférence sans y être officiellement invités. Voici deux exemples :

  • À la fin de mars 2020, une école secondaire du Massachusetts a signalé que pendant qu’un enseignant menait une classe en ligne à l’aide du logiciel de téléconférence Zoom, une personne non identifiée s’est jointe à la salle de classe. Cet individu a blasphémé, puis a crié l’adresse de l’enseignant au milieu de l’instruction.
  • Une deuxième école du Massachusetts a indiqué qu’une réunion Zoom avait été consultée par une personne non identifiée. Dans cet incident, l’individu était visible sur la caméra vidéo et affichait des tatouages de croix gammée.

Comment se protéger contre le Zoombombing et d’autres attaques similaires.

Comme avec d’autres solutions de vidéoconférence, il existe plusieurs options offertes au sein de Zoom pour réduire considérablement le risque de Zoombombing. La protection par mot de passe est probablement l’un des mécanismes de sécurité les plus efficaces.

Au fur et à mesure que les individus poursuivent la transition vers des leçons et des réunions en ligne, il faut faire preuve de diligence raisonnable et de prudence. Les mesures suivantes peuvent être prises pour atténuer les menaces d’infiltration de téléconférence :

  • Ne pas rendre publiques les réunions ou les salles de classe. Dans Zoom, il existe deux options pour rendre une réunion privée : exiger un mot de passe de réunion ou utiliser la fonction salle d’attente et contrôler l’admission des invités.
  • Ne partagez pas de lien vers une vidéoconférence ou une salle de classe sur un message sans restriction disponible sur les médias sociaux. Fournissez le lien directement aux personnes spécifiques que vous invitez.
  • Protégez votre vidéoconférence avec un mot de passe
  • Créez des salles d’attente pour les participants
  • ExigeZ que l’hôte soit présent avant le début de la vidéoconférence
  • GéreZ les options de partage d’écrans. Dans Zoom, on peut changer de partage d’écran en "Animateur seulement".
  • ExpulseZ tout participant ou participant non autorisé
  • Ne permettre que les personnes ayant une adresse de courriel reconnue de se joindre
  • Dans certains cas, l’animateur peut également mettre en sourdine tous les participants.
  • Permettre/désactiver un participant ou tous les participants d’enregistrer la session

FBI a fait parvenir un article sur les façons de se prémunir contre le Zoombombing. 

Zoom dispose également d’une grande collection de de vidéos et de guides pratiques sur son site qui s’adressent à chacun de ces réglages.

Les utilisateurs doivent prendre connaissance de ces options et décider qui pourrait être applicable en fonction de leur propre exigence ou utilisation.  Une réunion du conseil d’administration n’aurait évidemment pas les mêmes paramètres de vidéoconférence qu’un café Zoom.

Fuite de données personnelles sur Facebook

Compte tenu de la situation pandémique actuelle, plusieurs personnes de la population générale se sont abonnées à Zoom pour communiquer avec leurs amis et leur famille. Beaucoup de ces utilisateurs n’ont pas de compte "corporatif" et ont été authentifier à Zoom en utilisant leurs comptes Google ou Facebook.  Le mercredi 25 mars 2020, Zoom a été informé que le kit de développement logiciel Facebook (SDK) recueillait des informations sur les appareils tels que l’OS de l’appareil OS, sa version, toute autre information non nécessaire pour Zoom pour la fourniture de ses services.

https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/

https://www.vice.com/en_us/article/z3b745/zoom-removes-code-that-sends-data-to-facebook

Ils ont depuis supprimé le SDK de leur client iOS et ont reconfiguré la fonctionnalité afin que les utilisateurs soient toujours en mesure de se connecter avec Facebook via leur navigateur.

Un recours collectif avait déjà été intenté par un résident californien alléguant que l’application partageait illégalement des données personnelles sensibles avec Facebook. Le même jour, le bureau du procureur général de New York a envoyé une lettre à la start-up américaine pour obtenir des éclaircissements sur la façon dont la vie privée des utilisateurs est protégée.

Comment protégez-vous contre les fuites de données sur Facebook

Les utilisateurs d’entreprise de Zoom verraient normalement leurs utilisateurs utiliser les clients Zoom pour se connecter à la solution de vidéoconférence. La faille rapportée n’affecte pas le client Zoom version entreprise. 

  • Utilisez un client Zoom pour vous connecter sur les plateformes Windows ou iOS. Ne vous connectez pas via Facebook

NTLM Issue - Liens cliquables dans les chats Zoom

Comme l’utilisation de Zoom explose, il a été récemment démontré comment un URL régulier et le chemin UNC ont tous deux étés convertis en un lien cliquable dans zoom chats.

Le problème est, quand un utilisateur clique sur un lien UNC, Windows va tenter de se connecter à un site distant en utilisant le protocole de partage de fichiers SMB pour ouvrir le fichier à distance. Et en même temps, par défaut, Windows envoie le nom de connexion d’un utilisateur et le hachage de mot de passe NTLM. Cela pourrait être exploité par un attaquant avec des intentions malveillantes.

Comment se protéger contre le problème NTLM

  • D’abord et avant tout, les utilisateurs sont la première ligne de défense. Éduquez vos utilisateurs.
    • Ne cliquez jamais sur un lien provenant de personnes non fiables!
    • Examiner tous les liens provenant de personnes de confiance!
  • Mettre à jour le client Zoom à la dernière version. (Notes de sortie logicielle Zoom de 4.6.19253.0401).
La dernière version a rapidement corrigé ce problème.

Faille du chiffrement de bout en bout

L’un des arguments de vente de Zoom était le chiffrement de bout en bout. Et pour ceux qui ont travaillé dans ce domaine assez longtemps et de qui comprennent la complexité du cryptage de bout en bout, il n’est pas venu comme une surprise qu’il y avait des préoccupations signalées au sujet de la capacité réelle de Zoom à chiffrer la vidéo, audio et chat communications qui circulent à travers son réseau.

Compte tenu de l’examen plus approfondi de ses pratiques, Zoom a récemment publié une description complète de son processus de cryptage et reconnaît que dans certaines conditions, une partie du contenu peut ne pas être chiffrée de bout en bout.

Mais ce n’est pas tout, le Citizen Lab a dévoilé que la gestion des clés de chiffrement de Zoom utilisait constamment des clés cryptographiques sous-optimales. Au lieu d’utiliser AES-256, les clés AES-128, en mode livre de code électronique (BCE), ont été utilisées à la place et les clés ont été parfois livrées à partir des serveurs de Zoom en Chine.

Comment se protéger contre ce manquement

Dès le début, implémentez le chiffrement de bout en bout sur tous les contenus vidéo, audio et chat des réunions. Bien que cette fonctionnalité limite la capacité de recherche des utilisateurs dans les chats, il augmente la confidentialité globale.

  • Enregistrez vos réunions localement sur les postes. Ensuite, sauvegardez vos enregistrements vers un stockage en nuage de votre préférence au besoin.
  • Examinez les pratiques de sécurité Zoom pour vous assurer qu’elles répondent à vos exigences et aux réglementations applicables en ce qui concerne les exigences en matière de chiffrement. Bien que l’AES-128 soit sensible à la cryptanalyse, il faut évaluer la nature de leur trafic de vidéoconférence et évaluer sa valeur aux acteurs internationaux de la menace.

Les dangers des enregistrements des vidéoconférence

Bien que l’enregistrement par vidéoconférence puisse être une caractéristique très utile dans certains contextes, il soulève également des préoccupations en ce qui concerne la protection de la vie privée. La vidéoconférence est maintenant utilisée pour toutes sortes d’applications, y compris la télémédecine ou pour accéder aux services de santé. Dans ces situations, un patient pourrait naturellement s’opposer à l’enregistrement par vidéoconférence.

Comment se protéger contre les dangers de l’enregistrement des nuages

  • Éduquer vos utilisateurs qui est obligatoire pour l’hôte de demander et d’avertir les participants avant de commencer à enregistrer des sessions.
  • Éduquer les utilisateurs sur le repérage lorsqu’un hôte enregistre une session
  • Examinez vos pratiques de sécurité pour vous assurer qu’elles répondent à vos exigences et réglementations concernant le stockage infonuagique des enregistrements (emplacement, chiffrement, accès logique, niveaux de protection, etc.)

Pour plus d’informations, veuillez contacter le CISO d’Alithya, Benoît Renaud.

 

Contactez-nous