Quel est le niveau de sécurité de Skype et des autres outils de visioconférence?

Added 2020-02-05

Divulgation des affiliés: En achetant les produits que nous recommandons, vous contribuez à maintenir le site en vie. Lire la suite.

Le logiciel de visioconférence est pratique pour tout, des conversations aux membres de la famille qui vivent loin à la mise en place de grandes réunions de travail internationales. Mais certains logiciels utilisés pour les conférences peuvent ne pas être aussi sûrs que vous le pensez. Il existe un certain nombre de vulnérabilités de sécurité dans les logiciels de conférence comme Skype.

Vulnérabilités dans Skype

Skype est l'un des outils de visioconférence les plus populaires pour une utilisation personnelle et pour les communications professionnelles. Et maintenantMicrosoft lance Skype 8.0 pour les ordinateurs de bureaul'application appartient à MicrosoftMicrosoft lance Skype 8.0 pour les ordinateurs de bureau Microsoft lance Skype 8.0 pour ordinateur de bureau Microsoft a publié une nouvelle version de Skype pour ordinateur de bureau, et celle-ci ressemble à la version mobile de Skype. Lire la suite , l'une des plus grandes entreprises technologiques au monde. Vous pouvez donc supposer que c'est sans problème de sécurité. Ce n'est malheureusement pas le cas.

En 2018,un chercheur a révélé une vulnérabilité de sécurité qui a permis aux logiciels malveillants de modifier les ordinateurs des utilisateurs via le mécanisme de mise à jour Skype. Si les pirates pouvaient tirer parti de cette vulnérabilité, ils pourraient exécuter du code qui leur permettrait un accès complet sur les PC Windows sur lesquels Skype était installé. Les pirates pourraient avoir installé des logiciels, volé des données ou espionné des utilisateurs.

Heureusement, Microsoft avait identifié et corrigé ce problème avant la publication des rapports. Dans unpublier sur les forums de support Microsoft, un membre de l'équipe Skype a déclaré que ce problème ne concernait que les versions Skype 7.40 et inférieures. "Le problème était dans le programme qui installe le logiciel Skype - le problème n'était pas dans le logiciel Skype lui-même", a-t-elle déclaré dans la publication. «Le programme d'installation de la version actuelle de Skype pour bureau Windows (v8) ne présente PAS ce problème, et il est disponible depuis octobre 2017».

La bonne nouvelle dans ce cas est que Microsoft a corrigé le problème avant que le public ne s'en rende compte. Cependant, prenez ceci comme un rappel de l'importance de maintenir votre logiciel à jour.

Vulnérabilités dans Zoom

Une autre option de visioconférence populaire, en particulier pour les entreprises, est Zoom. Mais cela aussi a eu sa part de problèmes de sécurité.

Vulnérabilité du serveur Web local Mac

En 2019, chercheur en sécuritéJonathan Leitschuh a annoncé une vulnérabilité qu'il avait identifiée dans l'application Zoom pour Mac. L'exploit a utilisé le serveur Web local qui s'exécute en arrière-plan pour permettre à Zoom de fonctionner sur Mac. Ce serveur Web local comportait des vulnérabilités qui permettaient aux pirates d'interagir avec lui via des sites Web. Il pourrait même allumer les caméras des utilisateurs sans leur permission. Leitschuh a averti que les pirates pourraient utiliser la vulnérabilité pour allumer les caméras afin de recueillir des informations pour les attaques de phishing.

Étrangement, Zoom a d'abord répondu dans unarticle de blog en niant essentiellement que c'était un problème. La société a déclaré qu'elle avait publié un correctif mais «nous n'avons pas forcé nos utilisateurs à mettre à jour car il s'agit empiriquement d'une vulnérabilité à faible risque». Ils ont également critiqué le chercheur pour la manière dont il a révélé la vulnérabilité. À certains égards, ce comportement était plus préoccupant que la vulnérabilité elle-même. Des problèmes de sécurité surviennent dans pratiquement toutes les sociétés de logiciels, mais les sociétés devraient être proactives dans la protection des utilisateurs lorsque des problèmes surgissent.

Zoomez éventuellementrevint de leur position, en disant: "nous avons mal évalué la situation et n'avons pas répondu assez rapidement". Ils ont publié une mise à jour de l'application Mac qui a supprimé le serveur Web local et résolu le problème. Ils se sont également engagés à améliorer leur programme de bug bounty pour éviter, espérons-le, de tels problèmes à l'avenir.

Espionnage des réunions via les ID de réunion

Une autre vulnérabilité de Zoom a été révélée parRecherche Check Point en janvier 2020. L'entreprise a découvert un problème avec la façon dont Zoom attribue les ID de réunion. Ces identifiants sont des chaînes de neuf à 11 chiffres qui désignent une salle virtuelle pour les participants. Il est également possible de définir un mot de passe pour les réunions. Mais si les hôtes ne définissent pas de mot de passe, l'ID de réunion est la seule chose qui garde la réunion privée.

Check Point a découvert qu'ils pouvaient générer au hasard des ID de réunion Zoom. Ils pouvaient ensuite vérifier rapidement si ces identifiants étaient valides. Au final, ils ont pu prédire environ 4% des ID de réunion générés de manière aléatoire. Avec ces ID de réunion, les chercheurs ont pu accéder à des réunions qui auraient dû être privées.

La bonne nouvelle ici était que Zoom semblait avoir tiré les leçons de ses erreurs précédentes en matière de sécurité. Lorsque Check Point a révélé la vulnérabilité de Zoom, Zoom a rapidement pris des mesures pour la corriger. Ils ont apporté des protections comme l'ajout d'un mot de passe aux futures réunions par défaut.

Zoom a également modifié leur système pour rendre plus difficile pour les étrangers de savoir si un ID de réunion est valide ou non. Enfin, ils bloquent les appareils qui recherchent à plusieurs reprises les ID de réunion.

Ces modifications devraient rendre beaucoup plus difficile pour les pirates informatiques de voir les réunions Zoom, ce qu'ils ne devraient pas.

Vulnérabilités dans Webex

Une autre option de vidéoconférence que vous verrez utilisée dans le monde des affaires est la suite Webex Meetings de Cisco et les sites Webex Meetings Online. Ce logiciel avait également sa propre vulnérabilité révélée en janvier 2020. Cette vulnérabilité a permis à une personne non autorisée de rejoindre une réunion qui aurait dû être protégée par un mot de passe, même lorsqu'elle n'avait pas le mot de passe correct.

La vulnérabilité a profité d'un problème dans l'application mobile Webex, lorsqu'un utilisateur clique sur un lien Web vers une réunion. Le navigateur demande ensuite à l'application de s'ouvrir. L'utilisateur non autorisé pourrait se faufiler à ce stade.

Dans ce cas, Ciscodivulgué la vulnérabilité eux-mêmes. La société a également déclaré avoir corrigé le bogue et qu'aucune mise à jour du logiciel n'était requise.

Comment sécuriser votre logiciel de visioconférence

Avec toutes ces vulnérabilités, il n'est pas facile d'être complètement sûr que votre logiciel de visioconférence est sécurisé. Mais vous pouvez prendre certaines mesures pour améliorer la sécurité de votre visioconférence:

• Gardez votre logiciel à jour. Toutes les vulnérabilités dont nous avons discuté dans cet article ont maintenant été corrigées. Mais vous ne pouvez obtenir le correctif que si vous mettez à jour votre logiciel. Ne pas mettre à jour votre logiciel laisse ces failles de sécurité ouvertes.
• Vérifiez à quel matériel vos applications ont accès. Que vous soyez sur PC ou sur une application mobile, vous pouvezComment vérifier si votre webcam a été piratée: 7 choses à fairevérifier si le logiciel a accès à votre caméraComment vérifier si votre webcam a été piratée: 7 choses à faire Comment vérifier si votre webcam a été piratée: 7 choses que vous devez faire Vous craignez que votre webcam soit une cible pour les pirates? Vous pensez qu'il a déjà été piraté? Suivez ces étapes importantes pour le savoir. Lire la suite ou microphone. Si vous souhaitez assister à des réunions uniquement audio, vous pouvez révoquer l'accès à votre caméra.
• Vérifiez si votre ordinateur portable est équipé d'un voyant de caméra. De nombreux ordinateurs portables modernes avec webcams intégrées ont un indicateur LED quelque part qui s'allume lorsque la webcam est utilisée. Vérifiez si le vôtre le fait et si la lumière s’allume lorsque vous n’utilisez pas votre appareil photo, puis étudiez plus en détail.
• N'oubliez pas que la sécurité des conférences est une voie à double sens. Lorsque vous êtes en conférence, vous n'avez pas seulement besoin de vous assurer que votre propre logiciel est à jour. Vous devez également encourager les personnes avec qui vous discutez à mettre à jour leur logiciel également.

Logiciel alternatif de vidéoconférence

Tout type de logiciel peut être vulnérable aux problèmes de sécurité. Si vous voulez essayer quelque chose de différent des logiciels de conférence traditionnels comme Skype, consultez notre liste deMarre de Skype? 7 meilleures alternatives gratuites avec Skypeles meilleures alternatives Skype gratuitesMarre de Skype? 7 meilleures alternatives gratuites avec Skype Vous en avez assez de Skype? 7 meilleures alternatives Skype gratuites Les alternatives Skype peuvent vous libérer de la médiocrité et améliorer considérablement l'expérience de chat vidéo. Cet article couvre huit options. Lire la suite .