Visioconférence : conseils pour améliorer simplement la sécurité de vos réunions

L’adoption rapide et massive de services tels que Zoom a mis en évidence des questions de sécurité importantes. L’occasion d’en retirer quelques bonnes pratiques afin d’assurer la quiétude et la confidentialité des échanges.

Avec le passage massif en télétravail, de nombreux salariés sous l’effet du confinement mis en place pour lutter contre la propagation du coronavirus Covid-19, les plateformes de visioconférence connaissent un engouement sans pareil. Mais celui-ci ne va pas sans quelques incidents. Les intrusions dans les visioconférences ne sont pas rares. Des serveurs Discord dédiés au recensement et au partage de liens vers des réunions mal sécurisées ont d’ailleurs faire leur apparition. Et c’est sans compter avec les noms de domaine enregistrés dans le but de piéger les internautes en jouant sur des ressemblances avec les noms de services de visioconférence légitimes.

Des applications à jour

Des vulnérabilités ont été identifiées – puis corrigées – dans certaines applications de visioconférence, à commencer par Zoom. Bruno Leclerc, chez Sophos, et Philippe Rondel, chez Check Point, le recommandent tous deux : vérifiez régulièrement si des mises à jour de l’application sont disponibles. Cette recommandation vaut en fait pour tous les logiciels. Mais la rappeler n’est assurément pas un luxe, surtout lorsque les utilisateurs peuvent brutalement se trouver confrontés à plus de responsabilités dans l’entretien de leur poste de travail qu’à l’accoutumée.

Éviter que n’importe qui ne s’invite

Des intrus qui s’invitent à une réunion qui ne les concerne pas ? Cela s’appelle le zoom-bombing et c’est en plein essor. Certains peuvent y voir une simple plaisanterie, mais c’est aussi une attente à la confidentialité des échanges et à leur efficacité. La première protection consiste là à ne diffuser l’identifiant de la réunion qu’aux seules personnes ayant à le connaître. Mais ce n’est pas tout. Zoom, par exemple, permet de générer automatiquement un identifiant de réunion aléatoire, différent à chaque fois. Il est également possible – et conseillé – de protéger les réunions par mot de passe et surtout de n’autoriser que les utilisateurs invités à s’y joindre, sur la base de leur adresse e-mail.

Filtrer les arrivées

« [La fonction salle d’attente de Zoom] permet à l’organisateur de contrôler l’entrée des participants dans la réunion, en les laissant patienter dans une salle d’attente virtuelle le temps que celle-ci soit ouverte. »
Bruno LeclercSophos

Bruno Leclerc et Philippe Rondel recommandent également d’utiliser la fonction salle d’attente avec Zoom : « ceci permet à l’organisateur de contrôler l’entrée des participants dans la réunion, en les laissant patienter dans une salle d’attente virtuelle le temps que celle-ci soit ouverte », explique le premier.

Bruno Leclerc suggère également de contrôler l’accès à la fonction de partage d’écran, pour empêcher le « zoom bombing ». Philippe Rondel va plus loin en recommandant le contrôle de la caméra et de l’audio des participants, jusqu’à suggérer de couper le micro de tous ceux qui n’ont pas à avoir la parole.

Des précautions additionnelles

Philippe Rondel va plus loin, recommandant d’éviter de « répondre ou de cliquer sur les e-mails ou les messages instantanés associés à Zoom et à d’autres outils de collaboration en ligne ». La multiplication des noms de domaine trompeurs faisant référence à ce service de visioconférence, mais également des opérations de hameçonnage visant à collecter des identifiants de comptes professionnels – associés aux services Microsoft/Office 365 en particulier –, lui donne entièrement raison. Pour lui, il est préférable d’indiquer manuellement l’identifiant de la réunion à rejoindre sur le site Web de Zoom ou dans l’application plutôt que de suivre un lien.

Enfin, pour Philippe Rondel, il convient « de contrôler sa propre confidentialité, comme avec tous les outils en ligne » : « supposez que ce qui se passe dans Zoom ne reste pas dans Zoom ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close