Le programme de vidéoconférence Zoom fait fureur depuis le confinement. Cependant, victime de son succès, cette utilisation a mis au grand jour des failles de sécurité.

L’entreprise a bien réagi aux critiques, elle a d’ailleurs cessé de développer de nouvelles fonctionnalités, afin que son équipe de développement puisse se concentrer sur la sécurité.

Toutefois, Kasperky, le géant des antivirus, affirme que les mises à jour ne suffiront pas à résoudre tous les problèmes de sécurité, ni ceux liés à la protection de la vie privée.

Si vous avez peu confiance en Zoom, vous pouvez appliquer nos 8 conseils pour davantage de sécurité.

1- Votre adresse électronique professionnelle

Si vous venez de participer à une réunion Zoom, sachez que vous n'avez plus du tout besoin de vous inscrire.

Cependant, si vous avez un compte Zoom et que vous devez organiser des réunions, alors préférez utiliser votre adresse email professionnelle.

Vice a découvert une faille dans Zoom (qui n'est toujours pas résolue, selon Kaspersky), celle‑ci considérait certaines adresses emails (comme @yandex.kz) comme étant celles d’une même entreprise, puis les partageait avec d’autres utilisateurs Zoom.

Alors, pour garder votre email privé, ayez recours à votre adresse professionnel. Cela devrait vous poser moins problème pour partager cette information avec d'autres personnes.

2- La double authentification

Zoom prend en charge la vérification en 2 étapes ; ce qui est un moyen beaucoup plus sûr, pour se connecter à son compte, qu'une simple combinaison d'e-mail/mot de passe. 

Pourquoi est-ce important pour Zoom ? Parce que votre compte Zoom est associé à un ID personnel de réunion, de sorte que toute personne en possession de ce code peut rejoindre n’importe quelle réunion organisée par vos soins.

Il est donc important de garder cet ID aussi confidentiel que possible.

3- Mot de passe réunion

Pour éviter que des personnes se joignent à des réunions armées du numéro d’accès, Zoom permet la création d’un mot de passe lors de la planification de réunions. Seules les personnes invitées pourront et devront saisir ce mot de passe.

4- Ne publiez pas le lien de réunion sur les réseaux sociaux

Ne partagez pas le lien puisque cela permet à toute personne de rejoindre votre appel. Cette intrusion dans les chats est appelée Zoom bombing. Des trolls peuvent pirater des réunions et les "bombarder" d’images pornographiques.

Dans la mesure du possible, gardez donc ces liens secrets et ne les partagez qu'avec les participants attendus, via email, SMS ou tout autre application de messagerie instantanée.

5- La salle d'attente

C'est une fonction (interface Web de Zoom) que vous pouvez activer ; depuis, elle est activée par défaut. Tout participant à une réunion se rend d'abord dans une "salle d'attente" avant que l'hôte ne l’approuve et apparaisse dans la réunion.

Les hôtes peuvent également renvoyer les participants dans la salle d'attente.

6- La version web de Zoom

Début avril, le site Threatpost a découvert que, la version macOS de Zoom présentait des failles de sécurité. Les pirates avaient la possibilité d’accéder au microphone et à la webcam de l’utilisateur.

Une autre faille permettait à n'importe quel site web d'ajouter quelqu’un à une réunion, sans son consentement. 

Kaspersky déconseille vivement l’application car elle pourrait présenter des vulnérabilités,, la firme considère la version web davantage sécurisée. En effet, cette dernière se trouve dans une sandbox, elle ne requiert pas les autorisations, à l’image de la version app.

7- Attention aux fausses applications Zoom

Les pirates informatiques ont déjà utilisé les noms d'applications de vidéoconférence populaires (dont Zoom) pour dissimuler des logiciels malveillants.

L’analyste de sécurité Kaspersky, Denis Parinov a découvert que le nombre malware contenant les noms de Zoom avait triplé par rapport au mois précédent.

Le meilleur conseil est de s'en tenir au site officiel zoom.us et d’installer sur votre téléphone Android, iPhone et Mac que l'application provenant des store officiels.

8- Zoom sur un seul appareil 

Parfois, le navigateur web permet de télécharger et d'installer automatiquement Zoom. C'est pourquoi il est recommandé d’utiliser Zoom que depuis un seul appareil, comme un téléphone ou un ordinateur portable de rechange.

Ne prenez pas pour argent comptant que votre vidéo est chiffrée

Zoom fait la publicité de son cryptage de bout en bout, mais les spécialistes en sécurité ont souligné que cela est presque impossible. Lorsque The Intercept a demandé à Zoom si les réunions étaient vraiment cryptées de bout en bout, il a été admis qu'elles l'étaient seulement jusqu'à ce qu'elles atteignent les serveurs de Zoom, une technique appelée cryptage de transport ou TLS.

Avec la sortie de la version Zoom 5.0, le chiffrement AES 256 bits GCM est intégré à l’application de visioconférence. Son activation est prévue pour le 30 mai.