Le « zoombombing » dans les visioconférences est toujours d’actualité. Ce procédé perturbe des réunions en ligne de plus en plus stratégiques, souvent dans un but malveillant. Pour l’éviter, la sécurité des visioconférences doit être maximale à tous les niveaux.
C’est quoi le « zoombombing » ?
Le « zoombombing » est une intrusion non désirée dans une réunion en ligne. Lors de la crise sanitaire et du confinement, l’utilisation massive et soudaine de la visioconférence a fait exploser ce phénomène. Le « zoombombing » tient d’ailleurs son nom d’un nombre important d’irruptions de personnes malveillantes durant des visioconférences Zoom.
En effet, les intrus peuvent avoir différents objectifs lorsqu’ils rejoignent une visioconférence, allant de la simple perturbation de la réunion à la récupération de données sensibles telles que les noms des participants, objet de la réunion, documents ou écrans partagés…
De graves conséquences pour les organisations
Un intrus dans une visioconférence n’est pas seulement dérangeant pour la conduite de la réunion. Il représente aussi un danger pour la confidentialité des informations échangées.
Dans son dernier flash sur les risques liés aux visioconférences, la DGSI cite l’exemple d’une intrusion dans une visioconférence d’une entreprise, pour diffuser des messages à caractère terroriste. En cause ? Aucun contrôle de l’accès à la réunion en ligne : l’inscription était libre d’accès et le mot de passe de l’application avait un niveau de sécurité très faible. Ce manque de protection a facilité l’intrusion des individus.
De la même manière, récemment, une visioconférence de la Réserve fédérale a été annulée après l’apparition d’images pornographiques, diffusées par un anonyme ayant pris part à la réunion. Une centaine de représentants des grandes banques américaines étaient présents durant cette réunion en ligne. Une perturbation qui engendre des risques de vols de données et ternit la réputation de l’organisation.
Un indispensable : la sécurité du logiciel de visioconférence utilisé
Ces intrusions peuvent être évitées si le logiciel de visioconférence utilisé est « Secure by design ». Ce principe consiste à concevoir un logiciel en abordant les notions de sécurité dès les premières étapes de sa conception, afin de prévenir les risques de failles de sécurité.
Les accès au logiciel ou encore ses fonctionnalités font ainsi l’objet d’analyses strictes dès leur création. De ce fait, dès qu’une vulnérabilité est découverte, elle est immédiatement corrigée avant que le logiciel ne soit déployé.
Le chiffrement de bout en bout
Pour les visioconférences, le chiffrement de bout en bout fait partie des critères de sécurité indispensables. Ce système de transmission des données (audio, vidéo et data) garantit une confidentialité totale des communications. En effet, seuls l’émetteur et le(s) destinataire(s) sont en mesure de déchiffrer les données échangées, sans aucune phase de déchiffrement entre eux.
Il est donc impossible d’écouter ou d’espionner une visioconférence chiffrée de bout en bout en étant extérieur à la réunion. Par conséquent, le chiffrement de bout en bout rend d’autant plus difficile l’intrusion dans une réunion en ligne.
Le rôle clé de l’organisateur de la visioconférence
La sécurité du logiciel de visioconférence constitue une première barrière contre les intrusions.
Cependant, pour garantir une protection maximale, il est important que l’organisateur de la réunion soit en mesure de :
- gérer facilement les participants et exclure à tout moment un participant indésirable.
- modérer les droits de parole dans la réunion
- adapter le niveau de sécurité selon la sensibilité de la réunion
Contrôler l’accès aux réunions en ligne
Lorsqu’un lien de connexion à une visioconférence est partagé, certains invités non désirés ont la possibilité de se connecter et d’accéder directement à la réunion.
Avec Tixeo, si une personne clique sur un lien de connexion à une visioconférence, elle indique son nom et accède alors à une salle d’attente. L’organisateur reçoit en parallèle une notification de cette demande d’accès. Il peut alors décider de faire participer cette personne ou non.
De même, à tout moment de la réunion en ligne, l’organisateur a la possibilité d’exclure un participant s’il estime que celui-ci est suspect.
Gérer les droits des participants
En attendant que tous les participants à la visioconférence soient réunis, il est préférable que seul l’organisateur dispose du micro ouvert. Cela évite les bruits parasites, liés à l’arrivée de chacun, et prévient le risque qu’un intrus prenne la parole et mobilise l’attention.
L’organisateur peut également demander à chaque participant d’activer leur webcam, pour n’avoir aucun doute sur les interlocuteurs présents, comme le recommande la DGSI.
Choisir un niveau de sécurité adapté
Tixeo permet à l’organisateur de choisir un niveau de sécurité plus ou moins élevé selon le caractère sensible de sa visioconférence.
Ainsi, avec un niveau de sécurité standard, il sera possible de partager un lien de connexion à la réunion et de s’y connecter depuis un navigateur web par exemple.
Avec un niveau de sécurité maximal, les participants auront l’obligation de créer un compte utilisateur et de se connecter à la réunion en ligne depuis le logiciel.
Éviter le partage d’informations sur une réunion en ligne
Enfin, des informations sur une visioconférence sont parfois diffusées par mégarde. Par exemple, dans des agendas partagés, où l’on accède à la liste des participants, à l’objet de la réunion ou encore au lien de connexion. Mais il arrive également que des photos de salles de réunion avec une visioconférence en cours soient publiées sur les réseaux sociaux, alors même que l’on aperçoit sur l’écran le nom du réseau ou des identifiants de connexion.
La vigilance doit être totale sur le partage de ce type d’informations car elles peuvent engendrer du « zoombombing ».
Tixeo, logiciel de visioconférence Secure by Design, intègre la sécurité aux fondements de la conception de sa solution. Sa technologie de chiffrement de bout en bout sécurise les communications, quel que soit le nombre de participants à la visioconférence.