Cybersécurité des confinés

Technique

6 avr, 2020

Depuis l’annonce du confinement en France, le télétravail s’est imposé à une majorité d’entreprises, d’administrations ou de collectivités qui n’y étaient pas toujours préparées. Outre les questions d’accès aux ressources, de mise en place d’un espace de travail à domicile et d’organisation qu’il pose, le travail à distance s’accompagne également d’une menace pour la cybersécurité et la protection des données. Comme dans toute situation exceptionnelle, certains cherchent déjà à profiter de l’aubaine.

L’app Zoom en plein boom

Contraints de travailler à distance et d’utiliser des plateformes de télécommunications pour leurs échanges professionnels, des millions d’utilisateurs se sont tournés vers Zoom.


Simplicité d’utilisation, version gratuite performante et possibilité de réunir jusqu’à 100 personnes dans une conversation ont propulsé cet outil au rang d’application la plus téléchargée de l’App Store dans une trentaine de pays il y a quelques jours.

D’après des chiffres de Learnbonds.com, son volume quotidien de téléchargements a explosé à +1 270% entre le 22 février et le 22 mars 2020, pour atteindre un pic de 2 millions en une journée. 

L’usage massif et soudain de cette application a révélé quelques failles et soulevé plusieurs polémiques. Récemment, l’envoi de données personnelles des utilisateurs de l’application iOS par Zoom vers Facebook a fait scandale. Facebook pouvait ainsi, sans consentement, récupérer des informations comme l’heure de connexion à l’application, le modèle de smartphone ou la ville de connexion afin de créer un « profil publicitaire », et ce même pour les personnes qui n’étaient pas membres du réseau social. Ces révélations ont conduit l’entreprise à mettre à jour son application le 28 mars. N.B.  La mise à jour n’est pas automatique en revanche, il faut l’installer.

Depuis cet incident d’autres vulnérabilités ont été découvertes : The Intercept a ainsi levé le voile le 31 mars sur le prétendu chiffrement des données audio et vidéo de bout en bout. Concrètement, cela assure qu’une personne malintentionnée qui arriverait à accéder à des communications ne verrait qu’une suite de chiffres et de lettres indéchiffrables. Ce standard de sécurité n’est pas celui avec lequel Zoom semble protéger les communications, l’entreprise s’appuie sur le chiffrement TLS standard : les données sont chiffrées lors du transfert, et donc protégées en cas d’interception. Le hic c’est qu’elles sont accessibles sur les serveurs de Zoom, ce qui implique que les collaborateurs de l’entreprise pourraient en théorie les écouter.

Victime de son succès, l’application est devenue une cible de choix pour les cyber-pirates. Le Zoom-Bombing devient une pratique alléchante. En effet pour créer une réunion Zoom, rien de plus simple : il suffit d’ouvrir un compte avec une adresse email, puis en quelques clics, on lance un meeting. Mais c’est aussi là que le bât blesse : par défaut, l’entrée dans la visioconférence n’exige pas de mot de passe et beaucoup n’ont pas prêter attention à ce paramètre. Résultat : on peut s’introduire dans des réunions en tapant des adresses Zoom au hasard. Même le bureau du FBI de Boston a indiqué dans un communiqué du 30 mars « avoir reçu plusieurs signalements de téléconférences perturbées par des images pornographiques ou haineuses et du langage menaçant ». Heureusement, après dix tentatives consécutives le site demande de répondre à un captcha, ce qui doit bloquer les tentatives de connexion des bots et limiter cette pratique.

La liste des soucis de confidentialité de Zoom n’est pas exhaustive et la société, qui a dû réagir face à une augmentation massive du nombre d’utilisateurs, s’engage d’ailleurs  « à consacrer les ressources nécessaires pour mieux identifier et résoudre les problèmes de manière proactive ». C’est le cas avec la suppression de la fonction de suivi de l’attention des participants qui a fait couler beaucoup d’encre et la publication d’un guide pour limiter et éviter la pratique du Zoom-Bombing. 

Reste que d’autres outils stars du confinement font l’objet de critiques similaires : c’est le cas de HouseParty également pointée du doigt pointées pour sa gestion approximative de nos données personnelles.

Place aux gestes barrières… numériques

 

Le coronavirus est devenu le thème en vogue dans les cyberattaques ; les attaquants profitent d’une foule inespérée de personnes inquiètes et travaillant à distance pour s’en donner à coeur joie.

On observe une hausse des tentatives de phishing via emails et faux sites web. «Les cybercriminels, prouvant sans aucun doute qu’ils sont complètement  dénués de morale, ont intensifié leur activité, utilisant sans vergogne toutes sortes d’appâts liés au coronavirus pour tromper les gens. Nous voyons maintenant des dizaines de campagnes e-mails différentes par jour », reconnaît la société de sécurité Trustwave.

Les chiffres de la cybermalveillance se sont envolés en mars : selon Bitdefender les rapports de cybermalveillance liée au coronavirus ont augmenté de plus de 475%.

Des millions d’employés sont potentiellement plus exposés. Que l’on utilise un ordinateur de dépannage ou personnel, qui sont souvent moins sécurisés que les ordinateurs de l’entreprise ou que l’on soit juste distrait par l’actualité et donc moins enclin à repérer ou signaler un email abusif, travailler en sécurité devient un enjeu majeur.

Face à celui-ci des initiatives voient le jour. La CNIL a ainsi publié le 1er avril des recommandations pour aider à la bonne sécurisation des données personnelles et recommandé d’utiliser Tixeo, un logiciel français payant mais crypté de bout en bout pour les visioconférences.

La solidarité est de mise dans ce secteur également : à titre d’exemple, la société digital.security met gratuitement à disposition ses solutions de sécurité pour les organismes de santé .

De leur côté, les étudiants se mobilisent et les futurs experts en cybersécurité de l’Esiea proposent même une formation gratuite à leurs entreprises partenaires en cette période de confinement.

Face à ce danger collatéral de la crise sanitaire, la sensibilisation à la sécurité en ligne est primordiale car la cybercriminalité se propage également. Les pirates du monde entier se sont engouffrés dans la brèche du Covid-19 pour malmener la protection de nos données : un appel à la vigilance s’impose pour ne pas fragiliser davantage entreprises et organisations. 

 

Sources

Journal du Net

Liberation

Journal du Geek

Infotec-pro

Les Echos

ZDnet

Sciences et Avenir

 

Laisser un commentaire.