Le problème des applications de vidéoconférence

Quel est le niveau de sécurité des applications de vidéoconférence les plus populaires ?

Le problème des applications de vidéoconférence

#restezchezvous n’est pas qu’un hashtag populaire sur les réseaux sociaux actuellement : c’est aussi une dure réalité pour les entreprises qui ont dû demander à la majorité de leurs employés de travailler depuis chez eux en raison de la pandémie de coronavirus. Les réunions en face à face ont été remplacées par des appels vidéo. Cependant, les conférences d’entreprise sont là pour discuter de bien plus que de la météo, alors, avant de vous engager dans une application de vidéoconférence, examinez ses mécanismes de protection des données.  Soyons clairs : nous n’avons pas effectué de tests en laboratoire sur ces applications ; nous avons parcouru les sources publiques d’information sur les problèmes connus des logiciels les plus utilisés.

Google Meet et Google Duo

Google offre deux services d’appel vidéo : Meet et Duo. La première est une application qui s’intègre aux autres services de Google (la G Suite). Si votre entreprise l’utilise, Hangouts Meet s’y intégrera parfaitement.

Sécurité — Google Meet

Parmi les avantages de Meet, le fournisseur mentionne l’infrastructure de traitement des données fiables, le chiffrement (qui n’est cependant pas de bout en bout) et un ensemble d’outils de protection tous actifs par défaut. Comme la plupart des autres produits commerciaux de la G Suite, Google Meet est conforme aux normes de sécurité avancées et offre, entre autres, des options de configuration et de gestion des droits d’accès dans ses fonctionnalités.

Sécurité — Google Duo

Quant à l’application mobile Duo, elle protège les données en utilisant un chiffrement de bout en bout. Toutefois, il s’agit d’une application conçue pour les utilisateurs privés, et non pour les entreprises. Ses conférences ne peuvent accueillir qu’un maximum de 12 participants.

Vulnérabilités et inconvénients

Hormis quelques messages nous rappelant que Google collecte des données sur les utilisateurs et peut donc constituer une menace pour les secrets d’entreprise, nous n’avons pas pu trouver d’informations concrètes sur les performances de sécurité de ces applications. Cela ne veut pas dire que les services de Google sont sans faille, mais ils sont pris en charge par une équipe de sécurité très solide qui a tendance à régler les soucis avant qu’ils ne causent des dommages.

Slack

Slack permet de créer plusieurs espaces de travail de chat pour les équipes, affichés dans une seule fenêtre, ainsi que des canaux dans votre espace de travail dédiés à différents projets. Les conférences sont limitées à 15 participants.

Sécurité

Slack est conforme à une série de normes de sécurité internationales, y compris SOC 2. Le service peut être configuré pour fonctionner avec des données médicales et financières et permet aux entreprises de sélectionner une région pour le stockage des données. De plus, pour rejoindre un espace de travail Slack, vous devez avoir reçu une invitation ou disposer d’une adresse e-mail utilisant le nom de domaine de l’entreprise.

Slack offre également à ses clients des instruments flexibles de gestion des risques, une intégration avec les solutions de prévention des pertes de données (DLP – Data Loss Prevention) et des outils de contrôle d’accès aux données. Par exemple, les administrateurs peuvent restreindre l’utilisation de Slack depuis les appareils personnels et la copie d’informations depuis les canaux de conversation.

Vulnérabilités et inconvénients

Selon les développeurs de Slack, seul un nombre limité d’entreprises a vraiment besoin de chiffrement de bout en bout et la mise en place de cette option pourrait limiter la fonctionnalité. Il semblerait que Slack n’envisage pas d’ajouter le chiffrement de bout en bout.

Slack vous permet également d’intégrer des applications tierces dont la sécurité n’est pas du ressort de Slack.

De plus, des chercheurs ont découvert de sérieuses vulnérabilités dans Slack. Slack a patché les problèmes suivants : un bug qui permettait aux attaquants de voler des données et un autre qui permettait d’intercepter la session d’un utilisateur.

Teams

Microsoft Teams s’intègre à Office 365, ce qui constitue son principal avantage pour un utilisateur en entreprise. En réponse à l’augmentation de la demande d’outils pour le télétravail, Microsoft offre actuellement une version d’essai de six mois de Microsoft Teams, mais les utilisateurs gratuits ne pourront pas configurer les politiques et les réglages d’utilisateur : c’est un compromis potentiel en matière de sécurité.

Sécurité

Teams se conforme à différentes normes internationales et peut être paramétré pour travailler avec des données médicales confidentielles. Il offre des options de gestion de la sécurité flexibles. Dans le cadre de certains plans de service, des outils supplémentaires tels que la DLP ou l’analyse des fichiers sortants peuvent être intégrés à Teams. Notre solution de protection pour MS Office 365 analyse les données échangées sur Teams pour empêcher les logiciels malveillants de se propager sur le réseau de l’entreprise.

Les données envoyées au serveur, qu’il s’agisse de chats ou d’appels vidéo, sont chiffrées, mais encore une fois, ce n’est pas un chiffrage de bout en bout. En parlant de stockage et de traitement, les informations ne quittent jamais la région où votre entreprise est active.

Vulnérabilités

Surveiller les vulnérabilités de Teams est une bonne idée. En général, Microsoft corrige rapidement les vulnérabilités, mais il en apparaît tout de même de temps en temps.  Les chercheurs ont par exemple découvert il y a peu une vulnérabilité (corrigée depuis) qui permettait de prendre le contrôle d’un compte.

Skype Entreprise

La version Cloud de Skype Entreprise, l’ancêtre de Teams sur Office 365, commence à dater, mais il est encore possible de l’installer localement. Certains utilisateurs le préfèrent à Teams, et Microsoft continuera à supporter la version locale de Skype pendant encore quelque temps.

Sécurité

Skype Entreprise chiffre les informations, mais pas de bout en bout, et la protection du service est configurable. Il utilise également un logiciel de serveur local, de sorte que les appels vidéo et autres données ne quittent jamais le réseau de l’entreprise, ce qui représente un avantage évident.

Vulnérabilités et inconvénients

Le produit ne sera pas supporté éternellement. À moins que Microsoft ne modifie ses projets, la prise en charge de l’application prendra fin en juillet 2021, et Skype Entreprise Server 2019 bénéficiera d’une prise en charge prolongée jusqu’au 14 octobre 2025.

WebEx Meetings et WebEx Teams

Cisco WebEx Meetings est un service de visioconférence assez pointu.  Cisco WebEx Teams est un service complet de coworking qui, entre autres, prend en charge les appels vidéo. En ce qui concerne le sujet de cet article, la différence réside dans l’approche de chiffrement.

Sécurité

Cisco WebEx Meetings comprend des services de classe affaires et un chiffrement de bout en bout. (L’option est désactivée par défaut, mais le fournisseur l’active sur demande. Cela limite un peu la fonctionnalité du service, mais si vos employés traitent des informations confidentielles lors de réunions, c’est certainement une possibilité à envisager). Cisco WebEx Teams fournit un chiffrement de bout en bout uniquement pour la correspondance et les documents, tandis que les appels audio et vidéo sont décryptés sur les serveurs de Cisco.

Vulnérabilités et inconvénients

En mars dernier, le fournisseur a corrigé deux vulnérabilités de WebEx Meetings menaçant une exécution de code à distance. Et au début de l’année dernière, un bug grave a été détecté dans le client WebEx Teams. Il permettait l’exécution de commandes avec les privilèges de l’utilisateur actuel. Pourtant, Cisco est connu pour son sérieux en matière de sécurité et met rapidement à jour ses services.

WhatsApp

WhatsApp a été conçu pour la communication sociale et non pour les entreprises, mais l’application gratuite peut couvrir les besoins en visioconférence des petites entreprises ou des équipes. Ce programme n’est pas adapté aux grandes entreprises ; les vidéoconférences n’y sont disponibles que pour quatre participants à la fois.

Sécurité

WhatsApp a l’avantage indéniable d’un véritable chiffrement de bout en bout. Cela signifie que ni les tiers, ni les employés de WhatsApp ne peuvent voir vos appels vidéo. Contrairement aux applications professionnelles, WhatsApp n’offre pratiquement aucune option de gestion de la sécurité des chats et des appels ; il y a seulement ce qui est intégré.

Vulnérabilités et inconvénients

L’année dernière, des cybercriminels ont distribué le logiciel espion Pegasus en passant des appels vidéo sur WhatsApp. Le bug a été corrigé, mais n’oubliez pas que l’application n’est pas destinée à offrir une protection de classe professionnelle. Les utilisateurs devraient au moins suivre attentivement les nouvelles sur la cybersécurité.

Zoom

La plateforme de vidéoconférence Zoom, basée sur le Cloud, fait les gros titres depuis le début de l’épidémie. Sa tarification flexible, avec des conférences gratuites de 40 minutes pour jusqu’à 100 participants, et sa convivialité ont attiré beaucoup d’utilisateurs, mais les faiblesses de la plateforme ont également fait couler beaucoup d’encre.

Sécurité

Le service est conforme à la norme de sécurité internationale SOC 2, offre un plan de service séparé conforme HIPAA pour les prestataires de soins de santé, et a une configuration flexible. Les organisateurs de sessions peuvent bloquer les participants, même s’ils ont le bon hyperlien et le bon mot de passe, interdire l’enregistrement, etc. Si nécessaire, Zoom peut être configuré de manière à ce qu’aucun trafic ne quitte l’entreprise.

Zoom s’est attaqué activement aux problèmes de vulnérabilité signalés, et l’entreprise affirme qu’elle prévoit de donner la priorité à la sécurité des produits plutôt qu’à l’ajout de nouvelles fonctionnalités.

Vulnérabilités et inconvénients

Zoom affirme avoir intégré le chiffrement de bout en bout, mais cela n’est pas tout à fait vrai. Dans le cas d’un chiffrement de bout en bout, personne d’autre que l’émetteur et le destinataire ne peuvent lire les données transmises, tandis que Zoom déchiffre les données vidéo sur ses serveurs, et pas toujours dans leur pays d’origine.

Différentes vulnérabilités plus ou moins graves ont été découvertes dans les applications Zoom. Un bug a été signalé par les clients Windows et macOS de Zoom (déjà corrigé) : il permettait aux cybercriminels de voler les données du compte de l’ordinateur. Deux autres bugs de l’application macOS auraient pu permettre à des attaquants de prendre le contrôle total de l’appareil.

De plus, de nombreux rapports indiquent que des trolls d’Internet ont visité des conférences ouvertes, non protégées par un mot de passe, pour envoyer des commentaires douteux et afficher un contenu obscène grâce au partage d’écran. Vous pouvez régler le problème en configurant correctement votre conférence, mais Zoom a également ajouté une protection du mot de passe par défaut pour plus de sécurité.

Suite aux problèmes de sécurité dans Zoom, de grands acteurs ont dénigré le service. Cependant, tous les services présentent des vulnérabilités, et dans le cas de Zoom, sa popularité explosive a suscité beaucoup d’intérêt.

Choisissez l’application qui vous convient le mieux

Il n’existe pas d’application de vidéoconférence (ou d’application tout court) parfaitement sécurisée. Choisissez un service dont les inconvénients ne posent pas de problème pour votre entreprise. Et n’oubliez pas que le choix de la bonne application n’est que la première étape.

  • Prenez le temps de configurer correctement le service. Les paramètres permissifs causent de nombreuses fuites.
  • Mettez vos applications à jour rapidement pour corriger les vulnérabilités le plus vite possible.
  • Assurez-vous que vos employés possèdent au moins des compétences de base en matière de comportement sûr sur Internet. Si ce n’est pas le cas, prévoyez une formation à distance sur notre plateforme Kaspersky Automated Security Awareness.
Conseils