Afin d’exercer leurs talents, pirater des données et augmenter leurs gains, les cybercriminels recherchent sans cesse de nouvelles opportunités : élections présidentielles, événements à portée mondiale comme les Jeux Olympiques, périodes de soldes, etc. Dans ce contexte, la pandémie actuelle ne fait pas exception : confinée, la population cherche en masse à communiquer, d’où une vague sans précédent de tentatives de phishing, de BEC (Business E-mail Compromise), d'extorsion, de ransomwares et de piratage de données.
Cette situation est d’autant plus exacerbée que les entreprises comptent actuellement un nombre croissant de salariés en situation de télétravail. On constate ainsi une utilisation accrue des applications de visioconférence, qui constituent de fait de nouveaux vecteurs d’attaques lucratifs pour les hackers. Que ce soit côté entreprise ou utilisateur, la vigilance est de mise car, en infiltrant une réunion non sécurisée, les hackers peuvent avoir accès à des informations sensibles, voire exécuter leurs malwares via une fonction de transfert de fichiers.
Bien que ce ne soit pas le seul outil à être la cible d’attaques, Zoom a concentré jusqu’ici l’essentiel des incidents les plus médiatisés, avec plus de 530 000 comptes utilisateurs désormais accessibles sur le Dark Web. D’où la nécessité d’adopter un ensemble de bonnes pratiques permettant de renforcer la sécurité des informations, des collaborateurs et, in fine, de l’entreprise.
Retour sur des applications victimes de leur succès
Ce n’est pas la première fois que des applications de visioconférence sont au cœur des préoccupations en matière de sécurité. En 2019, des chercheurs avaient notamment décelé une faille sur Zoom qui aurait pu permettre d'espionner les utilisateurs via leurs webcams. Quelques mois plus tard, de nouvelles investigations ont révélé une attaque par énumération ciblant l'API et affectant la plateforme Zoom. Pourtant, aucune de ces attaques ne semble finalement avoir été exécutée.
L’histoire se répète : dans un contexte où une grande partie du monde recourt aux applications de visioconférence pour organiser des réunions professionnelles ou des appels vidéo privés, ces plateformes sont de nouveau sous les feux de la rampe. A quels types de menaces sont aujourd’hui exposés les utilisateurs ?
4 typologies de risques
Si le "ZoomBombing" - c'est-à-dire l'intrusion dans des réunions par des utilisateurs non autorisés et publiant parfois des contenus malveillants - a fait la une des médias, la manière dont les hackers se sont procurés les identifiants d’utilisateurs constitue également un risque à part entière. Dans le cas de Zoom, les identifiants n’ont pas été piratés, mais obtenus par credential stuffing : les hackers ont « simplement » récolté des mots de passe issus d’anciens piratages, et les ont essayés sur les comptes Zoom.
Toutefois, d’autres risques persistent, tels que :
- Le hacking : le vol de mots de passe sous Windows ou l’installation à distance de logiciels malveillants sur les Macs pour écouter les réunions.
- Le phishing : en créant des liens et de faux sites de visioconférence d'apparence authentique, les hackers pourraient voler des données financières, diffuser des malwares ou recueillir des numéros d'identification Zoom, et ainsi s'infiltrer dans des réunions virtuelles. Ainsi, 2 000 nouveaux sites ont été enregistrés au cours du seul mois de mars, soit plus de deux tiers du total de l'année.
Quelles bonnes pratiques pour se protéger ?
Plusieurs mesures peuvent être prises pour réduire les risques liés à l’emploi de Zoom, également valables pour d’autres applications de visioconférence.
3 principes de base :
- S'assurer d’avoir installé la dernière mise à jour du logiciel
- Sensibiliser les utilisateurs aux pratiques de phishing ciblant leurs applications de visioconférence, afin qu’ils ne téléchargent ces dernières qu'à partir de sites sécurisés et vérifient que l'URL de la réunion ne contient rien de suspicieux avant d’y pénétrer
- Veiller à ce que tous les télétravailleurs disposent d'un logiciel antivirus, y compris d'un système de détection de phishing, installé par un fournisseur de confiance
Revoir les paramètres administratifs afin de réduire les accès
Les identifiants personnels pour accéder à une réunion Zoom se matérialisent par un numéro de 9 à 11 chiffres, transmis à chaque participant. Si un hacker met la main dessus, et que la réunion n'est pas protégée par un mot de passe, il peut sans mal se joindre aux discussions. Une fuite d'e-mail ou de simples techniques d’attaques de force brute ou en asymétrique pourraient permettre à un hacker de pirater son identifiant et l'URL associée. Pour les réunions régulières, la menace persiste.
Le 9 avril dernier, Zoom a pour sa part annoncé un ensemble de mesures simplifiant la mise en œuvre des mécanismes de sécurité et enrichissant les fonctions existantes. Les animateurs d'une visioconférence sont désormais à même d'évincer rapidement des participants, de limiter leur nombre, de les mettre en attente, ou d'éviter qu'ils ne partagent du contenu. Dans cette même logique, l'identifiant des conversations est désormais masqué, afin d’éviter qu’un participant imprudent ne le diffuse involontairement sur les réseaux sociaux via une photo qu’il aurait pris de son écran. Enfin, la protection par mot de passe est maintenant proposée par défaut.
Aller plus loin avec des réflexes simples :
- Régler le partage d'écran sur "hôte exclusivement" pour empêcher « les invités non invités » de partager des contenus dérangeants
- Ne pas partager ses identifiants de réunion en dehors des canaux de communications de l’entreprise (et en particulier sur les réseaux sociaux)
- Désactiver les « transferts de fichiers » pour réduire le risque de logiciels malveillants
- Veiller à ce que seuls les utilisateurs authentifiés puissent participer aux réunions
- Verrouiller la réunion une fois qu'elle a commencé pour empêcher toute nouvelle arrivée
- Utiliser la fonction salle d'attente, de sorte que l'hôte ne puisse autoriser les participants qu'à partir d'un registre prédéfini
- Émettre un son lorsque quelqu'un entre ou quitte la réunion
- Permettre à l'hôte de mettre les participants en attente, en les retirant temporairement d'une réunion si nécessaire