Visioconférence : des réunions pas toujours privées

Tous les secteurs ne sont pas impactés par la pandémie du Covid-19. C’est le cas notamment du marché de la visioconférence. Microsoft a indiqué qu’en mars, sa plate-forme de collaboration Teams comptait 44 millions d’utilisateurs actifs chaque jour.  En novembre dernier, ils n’étaient « que » 25 millions.

Zoom, autre service de vidéoconférence, a vu son trafic quotidien augmenter de 67 % depuis janvier 2020. Seulement voilà, Zoom est victime de son succès. Reconnue et appréciée pour sa facilité d’usage et son ergonomie intuitive, la solution de cette start-up créée en 2011 attire aussi les pirates et autres chasseurs de failles de sécurité.

Résultat, les révélations sur les vulnérabilités de Zoom se sont multipliées ces dernières semaines. La situation devenant tellement ingérable, son fondateur Eric S. Yuan (ex-vice-président ingénierie de WebEx, un autre outil de visioconférence) a décidé de geler tous les développements informatiques afin que son équipe se concentre durant 90 jours sur la sécurité informatique.

L’épreuve du feu de la cybersécurité

Il est vrai que Zoom est devenu un cas d’école. Pas de chiffrements des connexions (ce qui permet à l’entreprise de les intercepter sur ses serveurs), des données qui partaient chez Facebook sans le consentement des utilisateurs, plus de 500 000 comptes Zoom en vente sur le dark web… Pire, les failles de sécurité étaient un secret de polichinelle selon une enquête du New York Times.

« Pour se trouver une place sur ce marché qui compte de nombreux poids lourds, la start-up n’a pas géré plusieurs problématiques de sécurité. C’est une erreur, car les autres solutions grand public comme Google Hangouts, Microsoft Teams/Skype sont passées à l’épreuve du feu de la cybersécurité ; les entreprises qui les proposent ont déjà été victimes de piratage et elles ont l’habitude de gérer ce genre de situation », explique Gerome Billois, sssocié cybersécurité et confiance numérique chez Wavestone.

Zoom risque de payer cher cette stratégie, car de nombreuses entreprises américaines (Tesla, Google) et françaises, mais aussi le Sénat américain et le département de l’éducation de New York ont décidé d’abandonner ce service et son offre payante.

Une analyse des risques

« Le principal risque pour les entreprises est l’écoute de ce qui va se passer lors d’une vidéoconférence. Elles doivent prendre différentes mesures. Premièrement, il est important de contrôler les accès aux réunions virtuelles. Deuxièmement, des mots de passe doivent être utilisés pour empêcher une personne malveillante d’y accéder sans autorisation. Enfin, il faut savoir par où transitent les flux et si les données sont localisées sur des serveurs européens afin d’être en conformité avec le Règlement Général sur la Protection des Données (RGPD) », explique Gerome Billois.

Qu’il s’agisse de visioconférence ou d’une autre application ou service, cet expert rappelle que les entreprises doivent faire leur analyse de risques. « S’il s’agit d’une réunion interne sur un sujet sans importance, le risque est limité avec Zoom ou Teams. Par contre, si l’on commence à évoquer la stratégie commerciale de reprise post-confinement sur les marchés à attaquer en priorité et avec quels niveaux de prix, c’est beaucoup plus délicat. Dans ce cas, il faut mieux utiliser d’autres plates-formes plus sécurisées et garantissant la confidentialité des informations ».

Les grands comptes doivent plutôt utiliser des solutions françaises comme Tixeo (certifiée et qualifiée par l’ANSSI), Adista ou encore Visio4you. Pour un usage personnel (ou en PME/PMI), il est recommandé d’utiliser Meet du Suisse Infomaniak et qui repose sur la solution open source Jitsi. Autres alternatives : Scaleway et Framatalk de l’association française Framasoft.