Le télétravail et les cyberconférences teintent le quotidien de millions de travailleurs à travers le monde, d’autant plus depuis l’éclosion de la COVID-19. L’industrie de l’assurance et les banques utilisent notamment la vidéoconférence pour discuter de sujets chauds.

« Cette nouvelle normalité est une mine d’or potentielle pour les cyberespions. Compte tenu de la valeur commerciale des réunions actuellement menées sur les applications comme Zoom, il est raisonnable de s’attendre à ce que la plateforme soit étroitement surveillée par des groupes engagés dans l’espionnage industriel et politique et la cybercriminalité », écrivaient les chercheurs Bill Marczak et John Scott-Railton du laboratoire interdisciplinaire Citizen Lab basé à la Munk School of Global Affairs & Public Policy de l’Université de Toronto, le 3 avril.

« Zoom doit être utilisé pour certaines choses et ne doit pas l’être pour d’autres. Pour des secrets d’État, des renseignements sensibles ou des dossiers médicaux, puisque la plateforme offre un service de télémédecine, ce n’est pas une bonne idée », ajoute Clément Gagnon, PDG de la firme-conseil Tactika.

La semaine dernière, le Washington Post a révélé que Zoom n’était pas aussi infaillible et protégé qu’Éric S. Yuan, fondateur et chef de la direction de l’outil de communication, nommé comme étant l’une des personnes les plus puissantes en technologie d’entreprise par le Business Insider, le prétendait.

Défaut de protection et incidents

L’équipe du quotidien américain a appris que l’application cotée en bourse depuis moins d’un an nommait presque tous ses fichiers d’enregistrements vidéo de la même façon. Ce qui lui aurait permis d’avoir accès à des milliers d’enregistrements à partir d’une recherche web.

Zoom, prétendait utiliser le chiffrement de bout en bout, un système de communication qui permet seulement aux personnes qui communiquent de pouvoir lire les messages échangés. Un avantage qui lui permettait de se distinguer de ses homologues comme Hangout de Google, qui offre le chiffrement de bout en bout uniquement lors d’une communication à deux.

« Nous constatons que Zoom a lancé son propre schéma de chiffrement, qui présente des faiblesses importantes. De plus, nous identifions les domaines potentiels de préoccupation dans l’infrastructure de Zoom, notamment en observant la transmission des clés de chiffrement des réunions à travers la Chine », révèlent MM. Marczak et Scott-Railton dans leur article.

« Le chiffrement créé par la plateforme est faible et ne respectait pas les normes actuelles pour les entreprises de vidéoconférence », ajoute Jean-Philippe Racine, le président du Groupe CyberSwat, lors d’un webinaire sur la sécurité de Zoom.

Par défaut, les enregistrements audios et vidéo des participants dans une réunion Zoom semblent être cryptés et décryptés avec une seule clé partagée entre les participants, expliquent les chercheurs du Citizen Lab. La clé est générée et distribuée aux participants à la réunion par les serveurs Zoom. « Le chiffrement et le déchiffrement qu’en fait Zoom dans le mode ECB est une mauvaise idée. Les protocoles standard de l’industrie pour le cryptage des médias qui diffusent en continu recommandent l’utilisation d’AES en mode compteur segmenté entier ou en mode f8, qui n’ont pas les faiblesses du mode ECB. »

Les vulnérabilités de la plateforme californienne ont permis l’incursion de cyber fripouilles. Certains ont envoyé des liens malicieux, d’autres ont pratiqué le « Zoombombing » qui consiste à diffuser des images pornographiques ou choquantes sur les écrans des participants d’une conférence, de publier des commentaires violents ou inappropriés dans l’outil de clavardage, de voler l’identité des utilisateurs ou encore de prendre le contrôle d’une conférence.

Liens étroits avec la chine

Les recherches du Citizen Lab sur les vulnérabilités du serveur Zoom ont permis de constater que le chiffrement et le déchiffrement d’une conférence a été envoyée à l’un des participants à partir d’un serveur Zoom situé dans Pékin.

 Une analyse montre un total de cinq serveurs en Chine et 68 aux États-Unis exécutent le même logiciel que le serveur de Pékin. « Nous pensons que les clés cryptées peuvent être distribuées sur ces serveurs », écrivent-ils.

Le souci c’est qu’une entreprise s’adressant à des clients nord-américains qui distribuent parfois des clés de chiffrement par des serveurs en Chine « est potentiellement préoccupante, étant donné que Zoom peut être légalement obligé de divulguer ces clés aux autorités chinoises », disent les chercheurs.

Ce que seconde M. Racine de Groupe CyberSwat. « Les conversations qui ont lieu en Amérique du Nord doivent rester en Amérique du Nord. Mais, en situation de COVID-19, il y a surement eu des erreurs, notamment en raison du volume important du trafic. En mars, Zoom a retiré la limite de temps pour les abonnements gratuits dans une vingtaine de pays. Il y avait plus de 200 millions d’utilisateurs de Zoom au cours de ce même mois », dit M. Racine.

Au même moment, la plateforme de San José a annoncé avoir étendu ses services en Australie, au Royaume-Uni, en Irlande, en Nouvelle-Zélande et à Porto Rico. En tout, une version bêta de son service a été instaurée dans 24 nouveaux pays et un territoire. Son service de téléphonie Zoom Phone a également été implanté dans 11 pays supplémentaires.

S’informer, c’est gérer le risque

« La cybersécurité se résume souvent à de la gestion de risque au sens large. Zoom est facile d’utilisation et plusieurs fonctionnalités sont super intéressantes, mais il y a un compromis à faire sur la sécurité. Il faut donc garder la tête froide lorsque des articles sont publiés sur le web », dit le chef de la cybersécurité de Diversico, Jean-René Pilotte, le 5 avril.

« Il faut gérer le risque, soit faire ses mises à jour, rester vigilant en tout temps et s’informer auprès des experts quand vous avez un doute », a-t-il ajouté.

Éric S. Yuan a mentionné qu’il cesserait la conception de nouvelles fonctionnalités pour se concentrer sur la cybersécurité de son entreprise. Par ailleurs, dans le prochain mois, Zoom publiera un rapport de transparence. D’ici là, M. Racine suggère de changer les mots de passe et d’en mettre un pour rejoindre toute conférence afin d’éviter le zoombombing.

Il propose de bloquer les réunions quand tout le monde est en ligne, de ne pas utiliser toujours le même numéro de salle de réunion, de bloquer le clavardage en cours de conférence et de limiter le partage d’écran en réunion. « Il vaut mieux laisser le contrôle au conférencier », a-t-il dit.

À LIRE SUR LE SUJET DE LA COVID-19 :