< Back to listing

Posted 27 janvier 2023

Des solutions de messagerie et de visioconférence toujours vulnérables aux cyberattaques

 

Bientôt trois ans que la crise sanitaire du Covid-19 nous frappait entraînant la démocratisation du travail à domicile se développait. Aujourd’hui, on parle de travail hybride ; certains restent chez eux ou déménagent à l’autre bout du pays, d’autres sont au bureau, ou dans des lieux publics. Le travail est devenu possible partout. Et les outils fondamentaux qui ont permis ce développement sont la messagerie instantanée & la visioconférence. En effet, ils permettent de se connecter à tout le monde : collaborateurs, fournisseurs, partenaires, clients de n’importe où, ceci de manière informelle ou formelle. Mais cela n’est pas sans risque, certaines solutions sont vulnérables et sont la cible privilégiée des cyberattaques. Elles concentrent des millions d'informations : flux vidéo, système de chat et échanges de fichiers. La sécurisation de ces données est un enjeu majeur en matière de sécurité informatique pour les utilisateurs et les clients de ces solutions.

 

Les menaces et vulnérabilités des applications de messagerie et de visioconférence
On relève une augmentation des menaces sur les applications de messagerie et de visioconférence : Meeting bombing, écoute passive non contrôlée, fuite de données, espionnage industriel… et notamment sur les outils totalement gratuits ou avec des abonnements complémentaires : Skype, WhatsApp, WebEx, Teams, Hangouts, Vidyo, Zoom... Même les professionnels du secteur le reconnaissent dans une étude du groupe Aite-Novarica sur la sécurité de la visioconférence ; 93% des professionnels interrogés ont reconnu des vulnérabilités de sécurité et des risques béants dans leurs solutions de visioconférence.

Les applications « gratuites » se rémunèrent via des publicités en ligne ou hors ligne, via l’exploitation des données personnelles ou encore sur la collecte d’autres données comme l’adresse IP, l'identifiant de l'appareil, ou encore des cookies… Certaines n’hésitent pas non plus à obtenir des informations personnelles ou confidentielles via la surveillance des conversations. C’est l’un des risques majeurs, le manque d’accès contrôlé aux conversations chez certaines applications pouvant entrainer : perturbation, sabotage, compromission ou divulgation d’informations sensibles.

Comme nous le citions dans l’article « La souveraineté numérique : un enjeu majeur pour vos communications et vos données », l’un des risques dans l’utilisation de solutions américaines comme Skype, Zoom, Teams, réside dans les lois nationales auxquelles elles sont soumises : Patriot Act et CLOUD Act. Microsoft a reconnu que les données de ses clients européens pouvaient être transférées aux Etats-Unis, sans consentement ou mentions aux utilisateurs, dans le cadre de l’application du Patriot Act. Même les grands acteurs de la vidéoconférence comportent des menaces et des vulnérabilités. Par exemple, du côté de Zoom en 2022 on découvrait une chaîne de vulnérabilités dans la fonctionnalité chat qui pourrait être exploitée pour permettre l’exécution de code à distance (RCE) sans clic. Concernant Microsoft Teams, Vectra a découvert sur le stockage des jetons d’authentification non chiffrés, permettant à tout utilisateur d’accéder aux documents secrets sans avoir besoin d’autorisations spéciales.

Enfin, la globalisation du télétravail a entrainé l’augmentation des attaques de phishing et d’ingénierie sociale directement sur les solutions de visioconférence et de messagerie. Dans certaines entreprises, où de nombreux collaborateurs sont à distance parfois même à 100%, toutes les équipes ne se connaissent pas. Et les cybercriminels n’hésitent pas à en profiter et piéger des salariés via des attaques frauduleuses en messagerie, se faisant passer pour un collaborateur ou un dirigeant de l’entreprise pour récupérer des informations sensibles ou encore financières.

 

Une nouvelle menace qui inquiète
Dans un objectif de réduction des coûts de nombreuses entreprises mettent en place une nouvelle tendance : le BYOD - Bring Your Own Device et ainsi incitent les salariés à utiliser leurs appareils personnels (téléphone, ordinateur portable, tablette électronique) plutôt que ceux fournis par l’entreprise. Les avantages affichés : confort, ergonomie, augmentation de la productivité, simplification de l’intégration et du départ des salariés, économies et réduction des coûts pour l’entreprise, développement d’une démarche durable… Seulement la multiplication des terminaux personnels, complexifie la tâche pour les DSI dans sécurisation des réseaux et des appareils. Ces nouveaux points d’accès sont d’autant de failles exploitables et générant des risques cyber accrus.

 

Le fait de laisser un appareil personnel accéder aux données de l’entreprise et de les stocker peut constituer une violation des données potentiellement sensibles, notamment en cas de perte ou de vol du device et de l’incapacité de supprimer à distance les données hébergées sur le device ou dans les applications. Également, les appareils personnels peuvent manquer d’éléments de sécurité : pare-feu, antivirus, chiffrement. Ces devices sont vulnérables à la compromission et aux attaques pouvant être ainsi une porte d’entrée à l’ensemble du réseau de l’entreprise. Les cyberattaques sont plus faciles à réaliser, plus difficiles à détecter et à traiter par les services IT. Enfin, l’installation d’applications personnelles (réseaux sociaux, jeux, etc.) aux côtés d’applications professionnelles ou métiers augmente les risques d’exposition à des logiciels malveillants.