Des solutions de messagerie et de visioconférence toujours vulnérables aux cyberattaques
Découvrez à travers cet article les solutions de messagerie et de visioconférence qui sont toujours vulnérables aux cyberattaques
Bientôt trois ans que la crise sanitaire du Covid-19 nous frappait entraînant la démocratisation du travail à domicile se développait. Aujourd’hui, on parle de travail hybride ; certains restent chez eux ou déménagent à l’autre bout du pays, d’autres sont au bureau, ou dans des lieux publics. Le travail est devenu possible partout. Et les outils fondamentaux qui ont permis ce développement sont la messagerie instantanée & la visioconférence. En effet, ils permettent de se connecter à tout le monde : collaborateurs, fournisseurs, partenaires, clients de n’importe où, ceci de manière informelle ou formelle. Mais cela n’est pas sans risque, certaines solutions sont vulnérables et sont la cible privilégiée des cyberattaques. Elles concentrent des millions d'informations : flux vidéo, système de chat et échanges de fichiers. La sécurisation de ces données est un enjeu majeur en matière de sécurité informatique pour les utilisateurs et les clients de ces solutions.
Les menaces et vulnérabilités des applications de messagerie et de visioconférence
On relève une augmentation des menaces sur les applications de messagerie et de visioconférence : Meeting bombing, écoute passive non contrôlée, fuite de données, espionnage industriel… et notamment sur les outils totalement gratuits ou avec des abonnements complémentaires : Skype, WhatsApp, WebEx, Teams, Hangouts, Vidyo, Zoom... Même les professionnels du secteur le reconnaissent dans une étude du groupe Aite-Novarica sur la sécurité de la visioconférence ; 93% des professionnels interrogés ont reconnu des vulnérabilités de sécurité et des risques béants dans leurs solutions de visioconférence.
Les applications « gratuites » se rémunèrent via des publicités en ligne ou hors ligne, via l’exploitation des données personnelles ou encore sur la collecte d’autres données comme l’adresse IP, l'identifiant de l'appareil, ou encore des cookies… Certaines n’hésitent pas non plus à obtenir des informations personnelles ou confidentielles via la surveillance des conversations. C’est l’un des risques majeurs, le manque d’accès contrôlé aux conversations chez certaines applications pouvant entrainer : perturbation, sabotage, compromission ou divulgation d’informations sensibles.
Comme nous le citions dans l’article « La souveraineté numérique : Un enjeu majeur pour vos communications et vos données », l’un des risques dans l’utilisation de solutions américaines comme Skype, Zoom, Teams, réside dans les lois nationales auxquelles elles sont soumises : Patriot Act et CLOUD Act. Microsoft a reconnu que les données de ses clients européens pouvaient être transférées aux Etats-Unis, sans consentement ou mentions aux utilisateurs, dans le cadre de l’application du Patriot Act. Même les grands acteurs de la vidéoconférence comportent des menaces et des vulnérabilités. Par exemple, du côté de Zoom en 2022 on découvrait une chaîne de vulnérabilités dans la fonctionnalité chat qui pourrait être exploitée pour permettre l’exécution de code à distance (RCE) sans clic. Concernant Microsoft Teams, Vectra a découvert sur le stockage des jetons d’authentification non chiffrés, permettant à tout utilisateur d’accéder aux documents secrets sans avoir besoin d’autorisations spéciales.
Enfin, la globalisation du télétravail a entrainé l’augmentation des attaques de phishing et d’ingénierie sociale directement sur les solutions de visioconférence et de messagerie. Dans certaines entreprises, où de nombreux collaborateurs sont à distance parfois même à 100%, toutes les équipes ne se connaissent pas. Et les cybercriminels n’hésitent pas à en profiter et piéger des salariés via des attaques frauduleuses en messagerie, se faisant passer pour un collaborateur ou un dirigeant de l’entreprise pour récupérer des informations sensibles ou encore financières.
Une nouvelle menace qui inquiète
Dans un objectif de réduction des coûts de nombreuses entreprises mettent en place une nouvelle tendance : le BYOD - Bring Your Own Device et ainsi incitent les salariés à utiliser leurs appareils personnels (téléphone, ordinateur portable, tablette électronique) plutôt que ceux fournis par l’entreprise. Les avantages affichés : confort, ergonomie, augmentation de la productivité, simplification de l’intégration et du départ des salariés, économies et réduction des coûts pour l’entreprise, développement d’une démarche durable… Seulement la multiplication des terminaux personnels, complexifie la tâche pour les DSI dans sécurisation des réseaux et des appareils. Ces nouveaux points d’accès sont d’autant de failles exploitables et générant des risques cyber accrus.
Le fait de laisser un appareil personnel accéder aux données de l’entreprise et de les stocker peut constituer une violation des données potentiellement sensibles, notamment en cas de perte ou de vol du device et de l’incapacité de supprimer à distance les données hébergées sur le device ou dans les applications. Également, les appareils personnels peuvent manquer d’éléments de sécurité : pare-feu, antivirus, chiffrement. Ces devices sont vulnérables à la compromission et aux attaques pouvant être ainsi une porte d’entrée à l’ensemble du réseau de l’entreprise. Les cyberattaques sont plus faciles à réaliser, plus difficiles à détecter et à traiter par les services IT. Enfin, l’installation d’applications personnelles (réseaux sociaux, jeux, etc.) aux côtés d’applications professionnelles ou métiers augmente les risques d’exposition à des logiciels malveillants.
Comment se protéger et limiter les vulnérabilités des applications de messagerie et de visioconférence ?
La CNIL a notamment partagé des recommandations pour faire face à ces risques. La première chose à faire lors du choix de l’outil de visioconférence est de bien lire les conditions d’utilisation. Toute application a l’obligation d’informer tous les utilisateurs de l’usage qui sera fait de leurs données. Pour les applications fournissant un service sur le sol européen, elles ont le devoir de se conformer au Règlement Général sur la Protection des Données (RGPD) et ainsi d’informer quelles sont les informations collectées, de quelle manière, pour quelles fins et pendant combien de temps.
Ainsi comme l’indique la CNIL, il est préférable d'opter pour un logiciel vous indiquant clairement la manière dont vos données sont utilisées et offrant de solides garanties de protection de la vie privée des utilisateurs. La CNIL donne d’autres précautions de base comme l’utilisation d’outils sécurisés et utilisant un système de chiffrement des données de bout en bout.
D’autre part, il faut s’assurer que les applications offrent une authentification à deux facteurs (2FA) à la fois pour le créateur de la réunion mais également pour le participant à la réunion, et s’assurer que les liens de connexion ne peuvent pas être partagés. Enfin il est conseillé d’utiliser des solutions conformes aux standards de sécurité, certifiées d’institutions reconnues, disposant d’un hébergement sécurisé et répondant à notre réglementation locale.
Il existe également des règles simples que les utilisateurs se doivent d’appliquer pour faire des réunions de manière sécurisée, prévenir des fuites de données et s’assurer que seules les personnes ayant besoin d’en connaitre ont accès aux contenus :
- Générer des invitations avec des codes secret pour rejoindre la réunion.
- Utilisez une connexion chiffrée et un réseau sécurisé (réseau interne, VPN, pare-feu, antivirus).
- Mise en place d’un contrôle des participants (salle virtuelle d’attente, acceptation des invités, blocage de la prise de contrôle des présentations, de l’enregistrement…).
- Paramétrer les options de confidentialité et limiter les possibilités d’utilisations des données notamment en modifiant le type de fichiers ou de liens qui peuvent être partagés, ou encore en mettant à disposition les enregistrements de réunion seulement grâce à un mot de passe
- Fermer systématiquement les applications quand on ne les utilise pas.
- Désactiver le micro ou la caméra quand ce n’est pas utile.
- Utiliser un mot de passe complexe et différent.
Citadel Team, une solution déjà éprouvée
Un outil de visioconférence et de messagerie adapté, sécurisé, chiffré de bout en bout, souverain et ergonomique existe déjà : Citadel Team !
Citadel Team est la meilleure solution collaborative professionnelle multi-terminaux sécurisée. Discussions, téléphonie et visioconférence de Citadel Team, c'est l'alternative de confiance aux solutions de messagerie instantanée grand public. Créez des salons de discussions pour vos équipes, peu importe leur volume. Boostez la communication en invitant plusieurs milliers de membres dans des salons de discussions dédiés ! Discutez en privé avec chacun de vos collaborateurs internes et conviez des partenaires externes. Afin de garantir l’entière confidentialité et une totale étanchéité entre nos clients, chaque entreprise bénéficie d’une infrastructure dédiée opérée par Thales et hébergée en France. Vos données ne seront ni utilisées ni vendues. Activé quand nécessaire, le chiffrement de bout-en-bout garantit que seuls vos appareils puissent déchiffrer vos messages. Citadel Team synchronise en temps réel l’ensemble de vos échanges sur vos terminaux mobiles et PC (iPhone, Android, Mac, Windows et navigateurs).