Alors que beaucoup d'entre nous sont aux prises avec la transition vers le travail à domicile en raison de l'épidémie de coronavirus, les plateformes de vidéoconférence connaissent soudainement une augmentation du nombre d'utilisateurs. Et relèvent, dans l'ensemble, les défis de sécurité associés à l'adoption de cette technologie par des millions d'utilisateurs.
La pandémie de Covid-19 a entraîné l'imposition de mesures de distanciation sociale, notamment la fermeture des locaux commerciaux. Sans crier gare, les PME comme les grandes entreprises ont dû trouver des solutions de travail à distance pour maintenir la communication entre les employés et poursuivre leurs activités – bien que, dans de nombreux cas, à un rythme limité.
Le grand public s'est lui aussi tourné vers – y compris Houseparty, et Microsoft Teams – pour rester en contact avec amis et famille. Ces outils sont devenus de manière inattendue des facteurs importants de la vie quotidienne, mettant en lumière les vendeurs à l'origine de ces plateformes et leurs politiques de sécurité.
Quelles normes de sécurité minimales pour une application de visioconférence ?
Au cours des dernières semaines, les problèmes de sécurité sur des plateformes telles que et ont été rendus publics, certaines plateformes étant alors interdites d'utilisation .
Toutefois, dans l'ensemble, une nouvelle étude suggère que les fournisseurs de ces solutions s'efforcent d'améliorer la situation et que la majorité des solutions de visioconférence les plus utilisées répondent désormais à des normes de sécurité minimales. Mardi, Mozilla a publié une étude, "Privacy Not Included", explorant la posture de sécurité de ces solutions. Au total, 15 produits ont été testés, dont 12 ont répondu aux critères de base de la cybersécurité.
L'étude est basée sur les normes de sécurité minimales de Mozilla :
- un niveau de chiffrement doit être en place ;
- des mises à jour de sécurité doivent pouvoir être émises ;
- lorsque les utilisateurs s'inscrivent, ils doivent créer un mot de passe fort ;
- les politiques de confidentialité doivent être claires et sans jargon ;
- il doit y avoir un moyen pour les chercheurs en cybersécurité de pouvoir signaler les vulnérabilités des logiciels – par exemple par un accès direct aux développeurs ou un programme de bug bounty.
Cela ne signifie pas qu'une application qui intègre ces recommandations est entièrement sécurisée ou qu'elle maintient la vie privée au cœur de ses opérations, mais cela indique au moins que les mesures de sécurité de base visant à protéger la vie privée des utilisateurs sont respectées.
Qui sont les bons élèves en matière d'applications de visioconférence ?
Au total, 12 des 15 plateformes ont atteint les standards de Mozilla : Zoom, Google Meet, Facetime (Apple), Skype, Facebook Messenger, WhatsApp, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting et Cisco WebEx. Cependant, Houseparty, Discord, et Doxy.me – une application de télémédecine – ont échoué aux tests.
Le grand problème des mots de passe faibles
Selon Mozilla, Houseparty, propriété d'Epic Games, ne répond pas à l'exigence de mot de passe fort pour passer le test. Un minimum de cinq caractères est requis, mais "12345" est considéré comme acceptable.
Discord a également échoué dans le même domaine. Les mots de passe doivent comporter au moins six caractères, mais l'utilisation de "111111" est considérée comme parfaitement correcte. En outre, cette plateforme recueillera les coordonnées des utilisateurs si elle est connectée aux médias sociaux d'un utilisateur, suggère l'étude.
Interrogé sur ce point par HFrance, Discord explique prendre « la vie privée des utilisateurs très au sérieux. En ce qui concerne les mots de passe, nous avons aujourd'hui mis à jour nos paramètres afin d'empêcher l'utilisation de mots de passe qui ne sont pas assez complexes ou qui ont été précédemment compromis par un autre service. En outre, nous utilisons une fonction appelée "IP Location Lock" qui assure une protection approfondie de nos utilisateurs et encourage tous nos utilisateurs à adopter une authentification à deux facteurs ».
Doxy.me, cependant, pourrait être l'application qui pose le plus de problèmes. L'application est destinée aux patients et aux cliniciens. L'application prétend que les normes de sécurité HIPAA, GDPR, PHIPA/PIPEDAn et HITECH sont respectées, ce qui, selon Mozilla, peut être le cas selon la version utilisée par les cliniciens, mais les exigences en matière de mot de passe sont extrêmement faibles.
Seuls les prestataires de soins de santé doivent utiliser un mot de passe, mais celui-ci peut être aussi faible que "123". Il n'existe pas d'option pour mettre en œuvre l'authentification à deux facteurs (2FA).
Doxy.me n'est accessible que par un navigateur web, et la sécurité de la plateforme repose donc sur le fait que les utilisateurs s'assurent que leur navigateur est à jour. Mozilla n'a pas été en mesure de vérifier si une plateforme de divulgation des vulnérabilités est en place ou non.
« Avec un nombre record de personnes utilisant les applications d'appel vidéo pour travailler, enseigner et contacter leurs amis, il est plus important que jamais que cette technologie soit fiable », explique Ashley Boyd, vice-présidente de Mozilla Advocacy. « La bonne nouvelle est que le boom de l'utilisation a mis la pression sur ces entreprises pour qu'elles améliorent la confidentialité et la sécurité de tous les utilisateurs, ce qui devrait être un signal pour le reste de l'industrie technologique ».
HFrance a contacté Epic Games, Discord, et Doxy.me et fera une mise à jour s'il y a des nouveautés.
Source :
Aucun commentaire:
Enregistrer un commentaire