Coronavirus et télétravail: quid de la sécurité informatique?

Covid-19 a amené un changement drastique des pratiques du monde de l’entreprise avec l’explosion du télétravail. Face à l’urgence, toutes les résistances sont tombées. Direction et utilisateurs se sont jetés dans le bain, suivis par écoles et particuliers. Des gens qui ne vous veulent pas du bien, eux aussi, télétravaillent.

 

 

L’application de visio-conférence Zoom

Fondé en 2011 par le Sino-Américain Eric Yuan, Zoom est devenu l’application dominante de visio-conférence, dépassant Skype (Microsoft), Hangouts (Google) et Teams (Microsoft) depuis peu, grâce à une application facile à utiliser et une offre gratuite. De 10 millions d’utilisateurs par jour en janvier, Zoom est passé à 200 millions dès mars.  

Zoom était prévu pour des utilisateurs professionnels dans un contexte de télétravail ou de travail en simultané sur plusieurs sites. Des utilisateurs qui n’étaient pas prévus au départ sont dorénavant adeptes: particuliers confinés en manque de vie sociale (apéro, fitness), écoles. Tous ont adopté Zoom sans formation, pratiquement sans autre choix, au pied levé.

Une série d’incidents fait depuis peu les titres des journaux. Berkeley High School en Californie a fait les frais d’une intrusion malveillante, ou Zoombombing: un homme nu vociférant des insultes racistes s’est introduit sur un meeting protégé par un mot de passe. A Hong Kong, St Stephen's Girls' College et Christian Alliance International School ont vu des invités-surprise présenter des "graphic material" indéfinis.

Aux Etats-Unis, suite à ces intrusions parfois à caractère raciste ou sexuel, le bureau du FBI de Boston a issu une notice, demandant la confidentialité des meetings Zoom et de leurs liens. Le procureur général de New York a envoyé une lettre à la direction de Zoom, demandant que la compagnie améliore ses mesures de sécurité face à l’augmentation du trafic. Des clients ont déjà interdit l’utilisation de la plateforme au sein de leur entreprise (SpaceX, Nasa), certains pays l’ont restreint (Taiwan, Allemagne).

 

 

Plusieurs questions se posent sur les liens de Zoom avec la Chine: son équipe d’ingénierie localisée en Chine, et le flux d’information vers et à travers la Chine. Zoom a admis que des visio-conférences sans participant en Chine, "ont été connectées à des systèmes en Chine, alors que ce n’aurait pas dû être le cas". Jacob Helberg, conseiller senior au Cyber Policy Center de Stanford University a tweeté sur l’équipe d’ingénierie en Chine et affimé (2000 likes): "avoir des échanges sensibles sur une plateforme susceptible de collecter des données pour le Parti Communiste Chinois devrait faire l’objet d’une réflexion, pour ceux qui souhaitent protéger leur compagnie ou leur gouvernement".

Le PDG de Zoom Eric Yuan a fait son mea culpa dans une interview au Wall Street Journal: "J’ai vraiment déconné comme PDG, nous devons regagner la confiance des utilisateurs". Dans le contexte de guerre technologique actuelle, et quand on connaît les faiblesses des grands de la Silicon Valley américaine sur les questions de faille sécuritaire et confidentialité des données, les ficelles peuvent paraître un peu grosses, d’autant que des utilisateurs de Google Meet semblent avoir été victimes du même type d’attaques.

Paroles et actions

Zoom prend pourtant les attaques au sérieux. Il a lancé un plan de 90 jours et embauché l’ancien responsable de la sécurité chez Facebook, Alex Stamos, qui le critiquait, comme consultant. Côté technique, Zoom veut:

• Clarifier les fonctionnalités protégeant les utilisateurs contre le Zoombombing,
• Enlever la fonctionnalité "Login with Facebook" qui envoyait les informations stockées sur les équipements à Facebook,
• Renforcer les options de confidentialité par défaut pour les utilisateurs scolaires,
• Permettre les mots de passe et salles d’attente virtuelles par défaut.

Côté gouvernance, Zoom a:

• Formé un CISO Council (communauté d’experts en cyber-sécurité, risques et assurance): des experts de HSBC, NTT Data, Procore et Ellie Mae y siègent. Ils discuteront confidentialité, sécurité et technologie,
• Créé un conseil sur la confidentialité: VMware, Netflix, Uber et Electronic Arts y siègent.

 

Le Cloud est-il fumeux?

Sur le fond, Zoom n’est qu’un exemple parmi les nombreux acteurs de l’écosystème fondé sur le Cloud. Il démontre la difficulté à trouver l’équilibre entre la sécurité et l’aspect pratique. Le télétravail, la sociabilisation virtuelle, l’enseignement à distance, à grande échelle, posent des questions de sécurité. En effet, pour que les outils soient adoptés, il faut qu’ils soient pratiques, mais leur adoption même met à risque leurs utilisateurs.

Certaines intrusions ne sont pas le fait de plaisantins: la semaine dernière, le Brno University Hospital (République Tchèque), un centre majeur de test pour le Covid-19, a été la cible d’une attaque sur son système informatique. L’ampleur de la cyber-attaque a été telle que toutes les opérations chirurgicales ont dû être repoussées, et l’ensemble du système éteint.

Il ne s’agit bien sûr pas de télétravail, mais dans un contexte de crise généralisée, cet exemple montre que les hackers sont très actifs, et ont parfois un agenda anarchiste dur. Prochaines cibles d’intrusions malveillantes: les consultations médicales à distance, les saisies de rapports médicaux à distance, et autres automatisations de diagnostic?

 

 

Bonnes pratiques

Dans la période de stress que nous vivons, il est plus fréquent de tomber dans des pièges. Alors restez vigilants, formez-vous, formez vos équipes.

To do list:

• Séparer vos équipements professionnels et données personnelles.
• Les Wi-Fi personnels n’ont souvent pas les mêmes défenses (firewalls) que les environnements de travail professionnels, ajouter un VPN si possible.
• Limiter la diffusion de vos liens de meetings, ajouter un rappel type "ce lien est personnel, ne pas rediffuser" sur votre envoi.
• Utiliser la fonctionnalité "code d’entrée" et utiliser de vrais codes qui ne soient pas transparents (éviter "000000").
• Vérifier les identités des gens qui se connectent pour prévenir le Zoombombing.
• Former à l’utilisation des outils.
• Anticiper une possible intrusion et prévoir un plan de crise.
• Mettre à jour vos anti-virus, logiciels (Zoom notamment doit améliorer son offre, donc télécharger l’update pour en profiter).
• Utiliser des modes de communication en fonction du contenu: email, SMS, téléphone, pour diversifier les risques.
• En cette période de Pâques, ne mettez pas tous vos œufs dans le même panier!

Enfin, voici un camembert qui vous montrera que les réunions physiques ont encore de beaux jours devant elles: seules 2% de vos capacités intellectuelles sont concentrées sur le contenu d’une visio-conférence en télétravail (source anonyme, et doit le rester!).

 

Pour être sûr de recevoir GRATUITEMENT tous les jours notre newsletter (du lundi au vendredi)

Ou nous suivre sur Facebook et Instagram