AlertesFacteurs à considérer pour l’utilisation de produits et services de vidéoconférence

Numéro : AL20-011 
Date : 3 avril 2020
Mise à jour : 14 avril 2020 – Complément à la section CONSEILS D’UTILISATION DES PRODUITS

APERÇU

En cette période où il convient, en conformité avec les politiques applicables, d’imposer de strictes mesures sanitaires en réaction à la pandémie de COVID-19, un nombre croissant d'organisations utilisent les logiciels de vidéoconférence pour permettre la continuité des activités. Or, il importe de veiller à ce que les niveaux d'intégrité et de confidentialité attendus soient maintenus lors de la configuration et de l’utilisation de ces logiciels.

DÉTAILS

L’accroissement considérable du recours aux solutions logicielles de vidéoconférence – aux fins de continuité des activités pendant l’observation des exigences qui imposent l'isolement en vue de ralentir la pandémie de COVID 19 – a fait ressortir un certain nombre de failles inhérentes à ce type de logiciel. De récents rapports médiatiques ont fait état de failles liées à l'infiltration de tierces parties ou au détournement de sessions de vidéoconférence. Ces interventions malveillantes ont notamment pour objectif de perturber les activités ou de compromettre les systèmes informatiques par le recours à des outils de piratage psychologique (social engineering). Le Centre pour la cybersécurité a d’ailleurs eu connaissance d'incidents au cours desquels des vidéoconférences tenues par des organisations canadiennes ont été la cible de tentatives d’infiltration et de perturbation.

Au nombre des incidents, notons des infiltrations et des perturbations inattendues (appelées « Zoom-bombing ») de vidéoconférences. Ce type d’infiltration est possible lorsque les réunions sont accessibles sans mot de passe ou lorsqu’elles ne disposent pas de « salle d'attente » grâce à laquelle les participants seraient identifiés avant d’être admis à la conférence. Cette situation peut être exacerbée par la publication, dans des forums ouverts, de liens vers les vidéoconférences. Les auteurs malveillants qui sont déterminées à perturber les réunions utilisent également des applications conçues spécialement pour localiser les vidéoconférences et tenter d’y accéder sans restriction. Au-delà du risque évident sur le plan de la confidentialité, les infiltrations de ce type peuvent entraîner des atteintes à la réputation, la  perte de crédibilité, la perturbation d’activités et la nécessité de rétablir des communications sécurisées.

Les fonctions d’échange de liens et de fichiers des applications de vidéoconférence présentent un ensemble de risques semblables à ceux qui surviennent lorsqu’on ouvre des hyperliens ou des fichiers depuis les  courriels. Lorsqu’une conférence a été infiltrée par un auteur malveillant, celui-ci peut être en mesure de convaincre les participants à la réunion de cliquer sur un lien malveillant ou d'ouvrir le fichier d’un document infecté qu'il aurait déjà fourni. Dans le cas des versions de Zoom qui sont antérieures au 1er avril 2020, des utilisateurs ont été en mesure, dans certains cas, d'exposer les informations relatives aux mots de passe Windows (en particulier le hachage du mot de passe NTLM) lorsqu'ils cliquaient sur un lien UNC sous la forme \\<computer>\<share>. Toutefois, cette faille a été corrigée dans la dernière version de Zoom.
Le Centre pour la cybersécurité conseille aux organisations qui utilisent (ou envisagent d'utiliser) la fonction de vidéoconférence de prendre bonne note des risques et des limites de ces outils, et de gérer ces risques en appliquant les pratiques exemplaires courantes ainsi que les conseils formulés par les fournisseurs.

MESURES D’ATTÉNUATION ET CONSEILS


Sur le plan de la sécurité, il conviendra d’encadrer le télétravail de la même façon que le travail effectué dans les lieux habituels. C’est donc dire que les vidéoconférences seront traitées comme les réunions qui ont lieu au bureau. En l’occurrence, les pratiques énoncées ci-dessous sont recommandées :

- Utiliser, autant que possible, les solutions déjà en place au sein de l’organisation.

- Choisir une plateforme comportant les fonctions de sécurité requises. Au nombre des facteurs à prendre en compte, notons le degré de chiffrement, la possibilité d’imposer l’usage d’un mot de passe ou le recours à d’autres méthodes d’authentification permettant de contrôler les accès à la vidéoconférence.

- Établir, en fonction des plateformes employées, les règles et les attentes concernant les types de discussions qui peuvent être tenues. (Par exemple, pour les utilisateurs du gouvernement du Canada, le matériel classifié ne devrait jamais être mis en partage dans un réseau non classifié.)

- Utiliser les outils qui conviennent à la fonction visée. D’ailleurs, il est plus convenable d’envoyer des documents sensibles par l’intermédiaire d’un service de messagerie ou dans un courriel sécurisé que par la fonction d’échange de fichiers d’un logiciel de vidéoconférence.

- Veiller à ce que les organisateurs de vidéoconférences connaissent les fonctions de sécurité disponibles dans les logiciels de vidéoconférence et de les utiliser adéquatement. Par exemple, il convient de protéger la confidentialité des réunions en exigeant un mot de passe. Lorsque, pour quelque raison, cette mesure ne peut pas être appliquée, il faut contrôler l'accès des invités au moyen d’une salle d'attente, comme nous le faisons pour les visiteurs qui se présentent à nos édifices : en les faisant enregistrer et en les faisant escorter.

- Veiller à ce que tous les intervenants qui utilisent un logiciel de vidéoconférence soient au clair et à l’aise avec les échanges de fichiers employés par l’utilisateur principal du logiciel dans le but de réaliser un profit (c.-à-d. vendre des analyses de données à des fins commerciales).

- Choisir une solution qui permette de déterminer la façon dont les  données sont traitées. En effet, certaines plateformes pourraient réacheminer les données vers l’extérieur du Canada ou enregistrer ces mêmes données dans des serveurs administrés par des tiers. 

- Ne jamais afficher de liens ni d’identificateurs de vidéoconférence ou de téléconférence dans des forums publics ou non gérés.

- Envisager le recours à une solution qui n’exige pas que les participants installent un logiciel client, à moins que ce ne soit nécessaire. Avec les versions Web de logiciels de vidéoconférence, il n’est plus nécessaire de tenir à jour les versions clients.

- Toujours installer les plus récents correctifs pour chacun des logiciels. Toujours!


CONSEILS D’UTILISATION DES PRODUITS

Certes, les pratiques énumérées plus haut s’appliquent à tous les produits et services de vidéoconférence. Il importe toutefois de rappeler que les conseils et les consignes du Centre pour la cybersécurité doivent être évaluées et appliquées en fonction des éléments contextuels qui caractérisent chacune des organisations. De plus, il convient de rappeler que le Centre pour la cybersécurité n’a pas pour vocation de recommander ni de déconseiller l’utilisation de certains produits et services. Or, pour des raisons pratiques, nous avons ajouté ci-dessous une liste non exhaustive de conseils qui ont été formulés par les fabricants de divers produits de vidéoconférence couramment utilisés. Au reste, il se peut que des conseils semblables aient été formulés pour d’autres produits de vidéoconférence.

 

Google Hangouts

Configurer Meet pour permettre le télétravail au sein de votre organisation
https://support.google.com/a/answer/9784650?hl=fr&ref_topic=9784759


Slack

Conseils élémentaires en matière de sécurité pour les administrateurs de Slack Workspace [en anglais] : https://slack.com/intl/en-ca/help/articles/115004155306-Security-tips-to-protect-your-workspace

Pratiques exemplaires en matière de sécurité pour les utilisateurs qui conçoivent des applications interne pour Slack [en anglais]: https://api.slack.com/authentication/best-practices


Microsoft Teams

Description des fonctions de sécurité de Teams et de la façon dont son architecture de sécurité résiste aux divers types de cyberattaques : https://docs.microsoft.com/fr-fr/microsoftteams/teams-security-guide


Cisco Webex

Fournit un aperçu des pratiques exemplaires en matière de sécurité qu’il convient d’observer au moment d’amorcer, de tenir et de conclure une réunion Webex :
https://help.webex.com/fr-fr/8zi8tq/Cisco-Webex-Best-Practices-for-Secure-Meetings-Hosts


Zoom

Divers types de gestion du mode d’accès des participants à une réunion Zoom [en anglais] : https://blog.zoom.us/wordpress/2020/03/20/keep-uninvited-guests-out-of-your-zoom-event/

Complément d’information sur les modalités d’utilisation de la fonction « salle d’attente » dans Zoom (cette fonction est d’autant plus pertinente lorsqu’il s’agit de réaliser des entrevues) [en anglais]: https://blog.zoom.us/wordpress/2020/02/14/secure-your-meetings-zoom-waiting-rooms/

Complément d’information sur la façon de sécuriser les réunions (p. ex. l’utilisation d’un mot de passe) [en anglais] :
https://blog.zoom.us/wordpress/2019/12/04/hosts-admins-secure-zoom-meeting-experience/?zcid=1231


Le Centre pour la cybersécurité recommande d’installer la plus récente mise à jour de Zoom avant d’utiliser le logiciel. La version actuelle corrige plusieurs failles connues, notamment deux failles causant une élévation des privilèges locaux dans la version OSX du logiciel Zoom, dont l'une pourrait donner à l'utilisateur un accès racine (root) à l'ordinateur local.


GoTo Meeting

Information sur la façon d’utiliser GoTo Meeting en toute sécurité et d’utiliser les fonctions de confidentialité avancées [en anglais] : https://blog.gotomeeting.com/5-best-practices-staying-secure-gotomeeting/

 

NOTE AUX LECTEURS

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du CCC agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incidents de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert, et coordonne les communications d’information et l’intervention en cas d’incidents. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.
On peut communiquer avec le Centre pour la cybersécurité grâce aux coordonnées suivantes :
Courriel : contact@cyber.gc.ca
Numéro sans frais : 1-833-CYBER-88 (1-833-292-3788)

Dernière mise à jour: