Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
©Olivier Douliery / AFP

Applis stars du confinement

Voilà comment Zoom et House party peuvent menacer vos données professionnelles ou personnelles

L'utilisation des applications Zoom et Houseparty - spécialistes dans les vidéo-conférences - a explosé en ces périodes de confinement. Or, depuis quelques jours, il semblerait que des hackers utilisent ces applications afin de voler les données de milliers d'utilisateurs. L'entreprise SpaceX a même interdit à ses employés de les utiliser.

Jean-Paul Pinte

Jean-Paul Pinte

Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert  en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux colloques en France et à l'International.

Titulaire d'un DEA en Veille et Intelligence Compétitive, il enseigne la veille stratégique dans plusieurs Masters depuis 2003 et est spécialiste de l'Intelligence économique.

Certifié par l'Edhec et l'Inhesj  en management des risques criminels et terroristes des entreprises en 2010, il a écrit de nombreux articles et ouvrages dans ces domaines.

Il est enfin l'auteur du blog Cybercriminalite.blog créé en 2005, Lieutenant colonel de la réserve citoyenne de la Gendarmerie Nationale et réserviste citoyen de l'Education Nationale.

Voir la bio »

Atlantico : Pouvez-vous nous expliquer comment les hackers, concrètement, volent les données/informations des utilisateurs ? De quelle manière le font-ils ? Quelles conséquences cela a sur les entreprises/gouvernements/gens ?

Jean-Paul Pinte : L’explosion de l’utilisation des formations en ligne nécessaire aux e-learning et blended-learning dans les enseignements voire dans le télétravail est sans précédent. Entre le 14 et le 21 mars, il y a aurait-eu rien que pour la seule plateforme Zoom 62 millions de téléchargements ! De nouvelles révélations de The Intercept laissent penser que cette application ne chiffrerait pas vos données de bout en bout. La version iOS de son application a été accusée de transmettre nos données par exemple à Facebook (Despite misleading marketing, the Zoom video conferencing service actually does not support end-to-end encryption for video and audio content, at least as the term is commonly understood. https://t.co/OSUg3WPdGYThe Intercept, 1er avril 2020).

Zoom prétend implémenter un cryptage de bout en bout, largement compris comme la forme de communication Internet la plus privée, protégeant les conversations de toutes les parties extérieures. En fait, Zoom utilise sa propre définition du terme, celle qui permet à Zoom d'accéder à la vidéo et à l'audio non chiffrés à partir des réunions.

Dans le livre blanc de Zoom, il existe une liste de «fonctionnalités de sécurité avant la réunion» disponibles pour l'hôte de la réunion qui commence par «Activer une réunion chiffrée de bout en bout (E2E)». Plus loin dans le livre blanc, il répertorie « Sécuriser une réunion avec le cryptage E2E» comme une «capacité de sécurité en réunion» disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre «Exiger le cryptage pour les points de terminaison tiers» activé, les participants voient un cadenas vert qui dit, «Zoom utilise une connexion cryptée de bout en bout» lorsqu'ils passent la souris dessus.

Toujours dans son livre blanc sur la sécurité et l'interface utilisateur de l'application, le service ne prend pas en charge le cryptage de bout en bout pour le contenu vidéo et audio, du moins comme le terme est communément compris. Au lieu de cela, il offre ce qu'on appelle habituellement le cryptage de transport. Il y existe une liste de «fonctionnalités de sécurité avant la réunion» disponibles pour l'hôte de la réunion qui commence par «Activer une réunion chiffrée de bout en bout (E2E)». Plus loin dans le livre blanc, il répertorie «Sécuriser une réunion avec le cryptage E2E» comme une «capacité de sécurité en réunion» disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre «Exiger le cryptage pour les points de terminaison tiers» activé, les participants voient un cadenas vert qui dit, «Zoom utilise une connexion cryptée de bout en bout» lorsqu'ils passent la souris dessus.

Les hackers peuvent utiliser le technique qu’ils utilisent pour attaquer les site Web car le cryptage utilisé par Zoom pour protéger les réunions est TLS est la même technologie que les serveurs Web utilisent pour sécuriser les sites Web HTTPS. Cela signifie que la connexion entre l'application Zoom exécutée sur l'ordinateur ou le téléphone d'un utilisateur et le serveur Zoom est cryptée de la même manière que la connexion entre votre navigateur Web et cet article (sur https://theintercept.com) est cryptée. Il s'agit du cryptage de transport, qui est différent du cryptage de bout en bout car le service Zoom lui-même peut accéder au contenu vidéo et audio non crypté des réunions Zoom. Ainsi, lorsque vous avez une réunion Zoom, le contenu vidéo et audio restera privé de toute personne espionnant votre Wi-Fi, mais il ne restera pas privé de la société. (Dans un communiqué, Zoom a déclaré qu'il n'accédait pas, n'exploite pas ou ne vend pas directement les données des utilisateurs; voir plus bas.)

On peut lire sur le site The Intercept que pour qu'une réunion Zoom soit chiffrée de bout en bout, le contenu vidéo et audio devrait être chiffré de telle sorte que seuls les participants à la réunion ont la possibilité de le déchiffrer. Le service Zoom lui-même pourrait avoir accès au contenu de la réunion cryptée, mais n'aurait pas les clés de cryptage nécessaires pour le décrypter (seuls les participants à la réunion auraient ces clés) et, par conséquent, n'aurait pas la capacité technique d'écouter vos réunions privées. Voici comment fonctionne le chiffrement de bout en bout dans les applications de messagerie comme Signal: le service Signal facilite l'envoi de messages chiffrés entre utilisateurs, mais n'a pas les clés de chiffrement nécessaires pour déchiffrer ces messages et, par conséquent, ne peut pas accéder à leur contenu non chiffré.

Matthew Green, cryptographe et professeur d'informatique à l'Université Johns Hopkins, souligne que la vidéoconférence de groupe est difficile à chiffrer de bout en bout. En effet, le fournisseur de services doit détecter qui parle pour agir comme un standard téléphonique, ce qui lui permet d'envoyer uniquement un flux vidéo haute résolution de la personne qui parle en ce moment, ou qu'un utilisateur sélectionne pour le reste du groupe, et d'envoyer des flux vidéo en basse résolution d'autres participants. Ce type d'optimisation est beaucoup plus facile si le fournisseur de services peut tout voir car il n'est pas chiffré.

L’impact des vols de données sur ces plateformes est alors immense pour les entreprises et il y a 8 jours Windows 10 : Zoom a été victime d’une énorme faille de sécurité via un simple lien, un attaquant de voler est en mesure de voler les informations d’identification d’un utilisateur. Zoom, comme tout logiciel de visio qui se respecte, intègre également son propre outil de messagerie textuel. Les participants à une réunion peuvent donc s’envoyer des messages, mais également des liens. Et c’est là qu’un bug vient d’être découvert : en convertissant une adresse en un lien cliquable destiné aux autres participants, Zoom envoie aussi votre nom d’utilisateur et votre mot de passe, lequel peut être piraté en quelques secondes à l’aide d’un logiciel gratuit comme Hascat.

En conséquence de quoi, un hacker aurait tout loisir d’intercepter vos identifiants et pirater votre compte. La faille touche toutes les versions de Windows, qu’il s’agisse de Windows 10, Windows 8.1, Windows 7. En attendant qu’un correctif soit déployé, il existe une petite astuce permettant de combler la vulnérabilité en question.

On trouvera ici le moyen de ne pas se faire voler ses identifiants sur de telles plateformes.

Houseparty, autre exemple, qui permet de discuter par chat vidéo jusqu'à huit personnes, avale non seulement les contacts des répertoires téléphoniques, photos et lieux de résidence, mais aussi le contenu des conversations. Il n’est donc pas exempt de toute attaque car, au-delà de la collecte, c'est l'utilisation des données des utilisateurs et leur partage qui posent problème ! On peut ainsi lire sur ce site qu'il n'y aurait aucune confidentialité des échanges sur cette application, mais au surplus qu'il y a une sorte d'autorisation donnée à House Party d'utiliser tout ce qui se dit sur les chats !

Autre point important, la politique de confidentialité de Houseparty précise que les données peuvent être hébergées partout dans le monde, et notamment aux États-Unis. Les données peuvent donc traverser l'Atlantique, et le fait que la société soit américaine (Life On Air, Inc. est basée en Californie) a une conséquence : les autorités américaines peuvent lui enjoindre de communiquer les données des utilisateurs. Si cela est légal, les transferts de données doivent être strictement encadrés et expliqués aux utilisateurs.
 
Il y a donc urgence pour nos administrations, entreprises et institutions de s'intéresser à ces problématiques avant que ne s'ouvre sur la toile à ciel ouvert un nouveau marché illégal des données.

Des hackers ont également créé des logiciels (comme zWarDial) capables de deviner automatiquement - par des algorithmes - l'identité, le sujet de discussion, le lieu etc. de toute personne participant aux vidéo-conférences par exemple. Apple a porté plainte car des ordinateurs Mac ont été infectés par des virus installés par le biais de Zoom. Comment se protéger face à ces agissements ? 

Afin de trouver des appels Zoom à rejoindre sans invitation, les pirates utilisent un outil en ligne appelé zWarDial, un outil en ligne découvre automatiquement les réunions Zoom – y compris les réunions privées – et les pirates informatiques l’utilisent pour troller les gens

Brian Krebs a rapporté  que des mécréants ont écrit un programme appelé zWarDial pour deviner les numéros d’identification de réunion Zoom et ensuite rejoindre les appels sans y être invité. Vous pouvez protéger votre réunion par mot de passe, mais de nombreuses personnes ne le font pas – soit pour des raisons de commodité, soit parce qu’elles ne sont pas conscientes du risque de sécurité. Krebs écrit: « Lo a partagé le résultat d’une journée de numérisation zWarDial, qui a révélé des informations sur près de 2 400 réunions Zoom à venir ou récurrentes.

Ces informations comprenaient le lien nécessaire pour participer à chaque réunion; la date et l’heure de la réunion; le nom de l’organisateur de la réunion; et toute information fournie par l’organisateur de la réunion sur le sujet de la réunion. Les résultats ont été stupéfiants et ont révélé des détails sur les réunions Zoom prévues par certaines des plus grandes entreprises du monde, y compris les grandes banques, les sociétés de conseil internationales, les services de covoiturage, les entrepreneurs gouvernementaux et les sociétés de notation des investissements ».

Selon un nouveau rapport du chercheur en cybersécurité Brian Krebs. Chaque réunion Zoom a un ID de réunion unique, et zWarDial est un outil automatisé qui devine les ID jusqu’à ce qu’il en trouve un qui fonctionne. S’il n’y a pas de mot de passe lors d’une réunion, l’intrus sera instantanément ajouté à l’appel. La seule façon de se protéger contre de tels intrus est de définir un mot de passe pour la réunion. Bien que Zoom indique que les mots de passe sont désormais activés par défaut pour les nouveaux utilisateurs, les clients d’entreprise tels que les écoles et les entreprises peuvent ne pas avoir ce paramètre activé. La pratique du « Zoom-bombardement » est de plus en plus répandue, car les trolls font irruption dans des vidéoconférences non invitées à offenser ou ennuyer des étrangers.

Selon les bons conseils de ce site la page des paramètres de Zoom permet aux utilisateurs de configurer des mots de passe. Pour maximiser la sécurité, exigez un mot de passe pour toutes les réunions.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !