Dès les premières alertes autour de la sécurité de Zoom, nous avons commencé à analyser les risques réels et supposés, pour surtout ne pas causer de tort aux enfants qui se connectent à nos ateliers.
Nous nous sommes penchés sur les principales failles qui ont été médiatisées :
- Le zoombombing (ou l’arrivée d’intrus dans une visioconférence)
- La vente en masse d’identifiants Zoom sur le dark web
- Zoom donnent-t-ils nos données à Facebook ?
- Zoom permet-il d’exploiter une faille sur Windows 10 ?
- Zoom permet-il à n’importe qui de voir nos communications par manquement de chiffrement?
Ce que nous retenons suite à cette analyse sont que ces problèmes sont présents dans la plupart des outils de visioconférence. Ils ont été fortement médiatisés autour Zoom du fait de sa popularité fulgurante depuis la mise en place de mesures de distanciation sociale. Ils mettent en évidence que c’est déjà en adoptant de bonnes pratiques nous pouvons reprendre le contrôle de notre sécurité sur internet.
Zoom, newborn star de la distanciation sociale
Zoom client est un outil de visioconférence qui est passé en 4 mois de 10 millions d’utilisateurs à plus de 300 millions d’utilisateurs, et dont l’utilisation s’est largement diversifiée en lien avec le déploiement de mesures de distanciation sociale pour faire face à la pandémie de COVID-19.
1- Le Zoombombing
Le Zoombombing : de quoi parle t-on ?
Derrière ce nom à sensation de “zoombombing” se cache quelque chose d’assez banal, à savoir le partage du lien d’accès d’une réunion privée sur la place publique, et donc l’accès à la réunion d’une personne non désirée. Ce phénomène n’est pas spécifiquement lié à Zoom et existe pour d’autres outils de visioconférence utilisant des url comme adresse de réunion. En effet, avec ce lien, n’importe qui peut se connecter et rejoindre la réunion, si celle-ci est mal configurée.
Dans le cas de Zoom, trois mécanismes sont implémentés pour restreindre la diffusion : la possibilité d’ajouter un mot de passe aux réunions pour en limiter l’accès, la possibilité de créer une salle d’attente virtuelle à partir de laquelle l’animateur de la réunion peut accorder l’accès à la réunion au cas par cas aux seules personnes souhaitées et enfin la possibilité de verrouiller la réunion à un moment pour en interdire l’accès à toute personne supplémentaire.
2- LA VENTE DE COMPTES ZOOM SUR LE DARK WEB
“Sur le dark web, 530 000 comptes Zoom sont achetables pour moins de 0,0020 centimes de dollars chacun !!”
Wow, ça, ça fait peur.
Comment agir contre le credential stuffing ?
Du coup panique ou pas de panique? Cela dépend ici entièrement de la manière dont nous gérons notre vie numérique.
Avons-nous le même mot de passe et le même identifiant sur chaque plateforme? (exercice pratique: prenez 10 secondes pour compter vos mots de passes différents). Nous ne préconisons pas la panique mais la prise de contrôle de notre usage du numérique.
3- Zoom donnent-t-ils nos données à Facebook ?
Le problème n’est plus d’actualité, et c’est un bon exemple de la médiatisation forte sur un sujet sensible (la protection des données, Facebook), qui mène de fait à une résolution rapide. L’information de la faille peut continuer à circuler quand bien même le problème est déjà résolu et nous invite à questionner la fraîcheur des articles que l’on lit.
4- Les identifiants Windows récupérables
Très récemment, il existerait une faille dans Zoom qui permettrait de récupérer nos identifiants de connexion Windows!
Quels identifiants sont réellement récupérables ?
Dans le cas de Zoom et de la médiatisation de ce sujet, et ce jusqu’à début avril dernier, si un lien UNC était posté dans le chat de Zoom, il s’affichait comme lien cliquable. Cela permettait à une personne malveillante d’abuser de la confiance des interlocuteurs en leur faisant cliquer sur un tel lien, tout en attendant sur le réseau local (encore faut-il y accéder) pour récupérer les identifiants et pouvoir ensuite essayer de les craquer. Tout un programme !
5- Le Chiffrement
Chiffrement de bout en bout : ce que cela veut dire
Est-ce que n’importe qui peut avoir accès à nos conversations Zoom puisqu’elles ne sont pas chiffrées de bout en bout ?
Dans le cas de Zoom et de la plupart des outils de visioconférence à date, dont Google Meet et Jitsi, le chiffrement n’est pas assuré de bout en bout. Cela ne signifie pas que tout le monde y a accès, car nos communications restent chiffrées entre notre machine et les serveurs de Zoom et entre les serveurs de Zoom et nos interlocuteurs. Du coup, le seul endroit où la communication est en clair est le serveur de Zoom qui héberge la visioconférence. Et les seules personnes qui peuvent y avoir accès sont un sous groupe des employés de Zoom, responsables de l’administration des serveurs (sauf bien sûr s’ils se font hacker…).
Ces problèmes vont permettre aux outils et aux utilisateurs de visio de progresser
Malgré les manquements de ces outils de visioconférences et les questions que cela génère sur nos pratiques, ce focus sur Zoom et sur ses failles a de nombreux impacts positifs sur le milieu des outils de visioconférences, tant pour les outils nouvellement arrivés sur le marché que pour les ténors du milieu, en les poussant à communiquer sur leur solidité, en améliorant constamment leur offre. Le focus médiatique sur Zoom ne doit pas faire oublier que tout outil doit être questionné et peut faire face à ces problèmes.
Romain Liblau & Marilyn Hodé
Responsables Pédagogiques de Magic Makers
—————
Repéré depuis https://www.linkedin.com/pulse/zoom-notre-analyse-des-risques-de-sécurité-romain-liblau/