10 conseils de sécurité et de confidentialité pour Zoom

Prenez le contrôle de vos vidéoconférences sur Zoom, de vos réunions de famille et de votre tournée des bars en ligne.

Avec la distance sociale et les mesures de confinement adoptées dans le monde entier, les gens ont rapidement commencé à chercher des moyens de communication efficaces. Grâce une utilisation facile et un prix attrayant, Zoom est rapidement devenu très populaire. D’autre part, les utilisateurs se sont vite rendu compte que les développeurs de Zoom n’étaient pas prêts à être surveillés de si près.

Avec une telle utilisation, le flux de Zoom a rapidement émergé. L’entreprise gère cette augmentation considérable de la charge de travail sans heurt, et réagit rapidement lorsque les chercheurs en sécurité lui font part de leurs nouvelles découvertes. Pourtant, comme n’importe quel service, les mises à jour du code ne corrigent pas tous les problèmes, et certaines difficultés sont plus importantes que d’autres. C’est pourquoi nous avons décidé de donner 10 conseils de sécurité et de confidentialité aux utilisateurs de Zoom.

1. Protégez votre compte

Votre compte Zoom est avant tout un autre compte et, lorsque vous le configurez, vous devriez suivre les principes fondamentaux de la protection de compte. Choisissez un mot de passe unique et fort, et activez l’authentification à deux facteurs. Cette méthode rend plus difficile le piratage de votre compte et garantit une meilleure protection, même si les données relatives à votre compte venaient à être divulguées (ce qui n’est pas encore arrivé).

Il y a encore au moins une autre astuce propre à Zoom. Après avoir créé votre compte, vous obtenez un Nº personnel de réunion en plus de votre identifiant et de votre mot de passe. Ne le partagez pas en public. Comme Zoom vous propose de créer des réunions publiques en utilisant votre Nº personnel de réunion, il est assez facile de l’obtenir. Si vous en organisez une, toute personne connaissant votre Nº personnel de réunion peut assister à la réunion. Soyez prudent lorsque vous partagez cette information.

2. Utilisez votre adresse e-mail professionnelle pour créer votre compte Zoom

Un bug assez étrange détecté dans Zoom, et encore actif au moment où nous rédigeons cet article, faisait croire au service que les adresses e-mail d’un même domaine (sauf s’il s’agissait d’un domaine très courant comme @gmail.com ou @yahoo.com) appartenait à la même entreprise. Zoom partageait donc les coordonnées de tous les membres avec le groupe. Par exemple, les utilisateurs ayant utilisé leur adresse e-mail @yandez.kz, un service public de messagerie au Kazakhstan, pour créer un compte Zoom se sont retrouvés dans cette situation. Cela pourrait aussi se produire avec des adresses e-mail appartenant à des fournisseurs publics d’adresses e-mail plus petits.

Par conséquent, utilisez votre adresse e-mail professionnelle pour vous inscrire sur Zoom. Il ne devrait pas être trop gênant de partager vos coordonnées avec vos collègues de travail. Si vous ne disposez pas d’un compte professionnel alors créez un faux compte sur un domaine public courant pour que vos informations restent confidentielles.

3. Ne vous faites pas avoir par les fausses applications Zoom

Denis Parinov, analyste de sécurité de Kaspersky, a découvert en mars que le nombre de fichiers malveillants utilisant le nom de certains services populaires de visioconférence (Webex, GoToMeeting, Zoom et bien d’autres) a triplé par rapport au nombre observé mensuellement l’année dernière. Il est fort probable que cette augmentation soit le reflet des abus réalisés par les malfaiteurs qui redoublent d’efforts et se servent de la popularité de Zoom, et d’autres applications similaires, pour qu’un malware se fasse passer pour un client en vidéoconférence.

Ne vous faites pas avoir ! Utilisez le site officiel de Zoom, zoom.us, pour télécharger Zoom sur votre mac ou ordinateur, et ouvrez l’App Store ou Google Play pour l’installer sur vos dispositifs mobiles.

4. Ne partagez pas les liens de conférence sur les réseaux sociaux

Vous avez peut-être envie d’organiser un événement public, et de nos jours les événements en ligne sont les seuls événements publics autorisés. C’est pourquoi Zoom attirent de plus en plus de monde. Même si votre événement est vraiment ouvert à tout le monde, vous devriez éviter de partager le lien sur les réseaux sociaux.

Si vous connaissiez déjà Zoom avant de lire cet article alors vous avez certainement entendu qu’on parlait de « bombardement Zoom ». Le journaliste de TechCrunch, Josh Constine, a inventé ce terme pour décrire les trolls qui perturbent les réunions sur Zoom en partageant des contenus choquants. Il est fort probable qu’en ce moment même il y ait plusieurs conversations sur Discord ou threads sur 4Chan (plateforme connue pour les trolls) pour savoir quelles seront les victimes de leurs prochains raids.

Comment les trolls obtiennent-ils les informations relatives aux événements à venir ? Vous avez deviné juste ; ils les trouvent sur les réseaux sociaux. C’est pourquoi vous ne devriez pas publier les liens de vos réunions Zoom. Si, pour quelle que raison que ce soit vous souhaitez tout de même le faire, alors vérifiez que vous avez désactivé l’option Use Personal Meeting ID (Utiliser le Nº personnel de réunion).

5. Protégez chaque réunion par un mot de passe

L’utilisation d’un mot de passe pour votre réunion reste la meilleure solution pour vous assurer que seules les personnes que vous souhaitez voir puissent participer. Zoom a récemment activé par défaut la protection par mot de passe. Une très bonne décision. Cela étant dit, ne confondez pas le mot de passe de votre réunion Zoom avec celui de votre compte. Tout comme les liens de vos réunions, les mots de passe ne devraient jamais apparaître sur les réseaux sociaux, ou sur toute autre chaîne publique, sinon vous allez réduire à néant tous vos efforts pour vous protéger des trolls.

6. Activez la fonction Waiting Room

La fonction Waiting Room, active par défaut depuis peu, vous permet de mieux contrôler votre réunion puisque les participants patientent dans une « waiting room »  (salle d’attente) jusqu’à ce que l’hôte les valide un par un. Cela vous permet de savoir qui rejoint votre réunion, même si quelqu’un qui n’était pas censé participer a obtenu le mot de passe. Cette fonction vous autorise aussi à virer une personne indésirable de votre réunion et de la Waiting Room. Nous vous conseillons de laisser cette case cochée.

7. Faites attention au partage d’écran

N’importe quelle application de vidéoconférence offre le partage d’écran (un participant peut montrer son écran aux autres) et Zoom ne fait pas exception à la règle. Voici quelques paramètres qu’il vaut mieux surveiller de près :

  • N’autoriser que l’hôte à partager son écran ou offrir cette fonction à tous les participants. Si vos invités n’ont pas besoin de montrer le contenu de leur écran alors vous savez quelle option choisir.
  • Autoriser plusieurs participants à partager leur écran simultanément. Si vous ne savez pas pourquoi vous devriez activer cette option pour votre réunion alors il est fort probable que vous n’en ayez pas besoin. Gardez toutefois cette possibilité à l’esprit au cas où vous devriez l’activer à un moment donné.

8. Si possible, restez fidèle à la version client Web Zoom

Les diverses applications client Zoom présentent plusieurs problèmes. Certaines versions permettent aux cybercriminels d’avoir accès à l’appareil photo et au microphone du dispositif, alors que d’autres laissent les sites Internet ajouter des participants aux appels sans leur consentement. Zoom a rapidement corriger les bugs mentionnés auparavant, ainsi que d’autres défauts similaires, et a arrêté de partager les données des utilisateurs avec Facebook et LinkedIn. Pourtant, étant donné que la sécurité n’est pas correctement évaluée, les applications Zoom sont encore vulnérables et peuvent toujours avoir recours à certaines pratiques douteuses, comme le partage de données avec des tiers.

C’est pourquoi nous vous recommandons, dans la mesure du possible, d’utiliser l’interface Web Zoom et de ne pas installer l’application sur votre dispositif. La version Web se trouve dans une sandbox du navigateur et n’a pas besoin des autorisations que demande l’application. Vous limitez ainsi les éventuels dégâts.

Pourtant, dans certains cas, même si vous voulez utiliser l’interface Web, vous allez constater que Zoom a pris les devants et a téléchargé le programme d’installation. Il vous est désormais impossible d’accéder à la réunion sans installer le client. Dans ce cas, vous pouvez au moins limiter l’installation de Zoom à un seul dispositif. Il pourrait, par exemple, s’agir d’un smartphone que vous utilisez peu ou d’un ordinateur portable de secours. Choisissez un dispositif qui ne contient pas de renseignements personnels. Nous savons que tout cela peut sembler fou mais deux précautions valent mieux qu’une.

D’ailleurs, si votre entreprise utilise déjà Skype Entreprise (autrefois Lync) alors vous disposez d’une autre option. Skype Entreprise est compatible avec Zoom et peut parfaitement gérer les visioconférences Zoom, sans que vous ayez à faire face aux problèmes dont nous vous avons parlé.

9. Ne croyez pas au chiffrement de bout-en-bout dont Zoom se vante

Zoom n’a pas gagné sa part de marché seulement grâce à son prix et à ses fonctions. C’est aussi parce que ce service a vendu le chiffrement de bout-en-bout de son produit. Grâce au chiffrement de bout-en-bout, toutes les communications entre vous et les personnes que vous appelez sont chiffrées, de façon que vous et vos invités soyez les seules personnes capables de les déchiffrer. Toutes les autres parties, y compris le fournisseur de service, en sont incapables.

Tout cela a l’air sympa mais, comme certains chercheurs en sécurité l’ont démontré, c’est pratiquement impossible. Zoom a dû reconnaître que, dans son cas, l’autre bout était le serveur Zoom. En d’autres termes, la vidéo est chiffrée mais les employés de Zoom, et éventuellement les forces de l’ordre, peuvent y avoir accès. En revanche, il semblerait que le texte des conversations soit bel et bien chiffré de bout-en-bout. Cette histoire de chiffrement ne justifie pas forcément un abandon définitif de Zoom puisque d’autres services connus de vidéoconférence ne disposent pas non plus d’un chiffrement de bout-en-bout. Vous devriez toutefois y réfléchir et ne pas parler de choses personnelles ou de secrets industriels sur Zoom.

10. Pensez à ce que les gens peuvent voir et entendre

Ce conseil est valable pour tous les services de visioconférence, et pas seulement pour Zoom. Avant de rejoindre un appel, prenez le temps de réfléchir à ce que les autres participants vont voir et entendre. Même si vous êtes seul, ils s’attendent peut-être à ce que vous ayez une tenue correcte. Il vaut mieux soigner votre apparence.

Il en est de même pour votre écran, surtout si vous envisagez de le partager. Fermez toutes les fenêtres que vous ne voulez pas montrer aux participants, qu’il s’agisse du cadeau surprise que vous achetez en ligne pour une des personnes présentes ou d’une recherche d’emploi dont votre patron n’a pas à être informé. Nous vous laissons imaginer quelles pourraient être les autres situations.

Profitez de Zoom

Vous pouvez vous sentir seul et vous ennuyer pendant le confinement, mais voyons le bon côté des choses. Imaginez ce que vous auriez fait lorsque le haut débit, les vidéoconférences et le télétravail n’existaient pas. Nous sommes ravis de pouvoir utiliser des applications comme Zoom et vous savez désormais comment bien vous en servir.

Conseils