Vous avez très certainement vu passer, dans la presse, des alertes au sujet de la solution de conférence en ligne Zoom. L’utilisation de cette solution a en effet explosé depuis le début de la période de confinement mais certains des problèmes de sécurité rencontrés sont sérieux et ne doivent pas être pris à la légère.
La presse spécialisée (lemondeinformatique.fr ou encore tomsguide.com) fait état de nombreux problèmes sur la solution Zoom ces dernières semaines :
- Échange de données avec Facebook et LinkedIn ;
- Problèmes de sécurité permettant à un attaquant de prendre le contrôle de la webcam et du microphone en environnement Mac OS ;
- Intrusion dans des réunions Zoom (Zoombombing) pour espionner ou perturber ces réunions avec des contenus pornographiques, des envois de messages racistes ou de discours haineux par exemple ;
- Vulnérabilité dans le partage de fichiers ;
- Pas de chiffrement de bout en bout des communications et utilisation de suites de chiffrement faibles ne permettant pas de garantir la confidentialité des échanges ;
- Problème permettant de contourner la validation d’une adresse e-mail et, par rebond, de prendre le contrôle de n’importe quel compte Zoom d’une entreprise ciblée ;
- etc.
Le CERT-EU a publié le 6 avril dernier une fiche récapitulant les différents risques dont vous retrouverez les points clés ci-dessous :
- Chiffrement faible ;
- Vulnérabilité dans le partage de fichiers ;
- Vulnérabilité non divulguée dans la salle d’attente de la réunion ;
- Faux domaines “Zoom” et fichiers exécutables “Zoom” malveillants pour tenter de tromper les gens en téléchargeant des logiciels malveillants sur leurs appareils ;
- Perturbations des sessions Zoom (Zoombombing) avec du contenu pornographique, racistes et propos haineux ;
- Vulnérabilité d’élévation de privilèges Mac OS ;
- Microphone Mac OS, caméra et vulnérabilité d’enregistrement de la réunion ;
- Invite de mot de passe trompeuse du programme d’installation de Mac OS ;
- Vulnérabilité de vol d’informations d’authentification de connexion Windows ;
- Fuite des adresses e-mail et de photos des utilisateurs ;
- Appels vidéo indésirables ;
- etc.
Le CERT-EU recommande ainsi : “Il est fortement déconseillé aux institutions, organes et agences de l’UE d’utiliser Zoom jusqu’à ce que l’entreprise corrige les vulnérabilités signalées, applique des pratiques de développement sécurisées, clarifie ses politiques de confidentialité, mette en œuvre un chiffrement fort et publie un rapport de transparence.”
Même si l’entreprise Zoom a corrigé depuis certains des problèmes évoqués ci-dessus, nous déconseillons fortement l’utilisation de cette solution dans le contexte actuel.
Nous vous conseillons plutôt de vous tourner vers d’autres solutions plus sécurisées :
- Dans son guide de bonnes pratiques pour le télétravail, la CNIL recommande l’utilisation de Tixeo (solution certifiée par l’ANSSI) ;
- D’autres solutions de conférence en ligne sécurisée existent. N’hésitez pas à nous contacter si vous souhaitez avoir notre avis sur la solution que vous utilisez.
Sources :
- Fabien Malbranque, Fonctionnaire de sécurité des systèmes d’information adjoint, HFDS
- https://cert.europa.eu
- https://www.lemondeinformatique.fr/actualites/lire-zoom-en-eaux-troubles-sur-la-securite-et-la-confidentialite-78653.html
- https://www.tomsguide.com/news/zoom-security-privacy-woes
- https://objective-see.com/blog/blog_0x56.html
- https://www.cnil.fr/fr/salaries-en-teletravail-quelles-sont-les-bonnes-pratiques-suivre