in

Comment sécuriser vos appels vidéo comme un pro

N’abandonnez pas. Parce que les nerds de la sécurité et de la confidentialité du monde entier ont vécu la même chose que vous, et nous avons des solutions.

Ils sucent tous

5m3photos via .

La première chose à comprendre sur la variété des applications de vidéoconférence est qu’aucune d’entre elles n’est géniale. Tous ont des problèmes de sécurité et de confidentialité d’un type ou d’un autre. Lorsque vous évaluez vos choix, vous ne choisirez que celui qui est meilleur à certains égards que les autres. L’un sera meilleur en matière de sécurité que les autres, et l’autre sera meilleur en matière d’intimité. Un autre sera meilleur dans toutes les choses que vous espérez pouvoir gérer (fêtes, interface facile, ne pas abandonner les appels, etc.).

Katie Moussris, fondatrice et PDG de Luta Security et la femme qui a aidé le ministère de la Défense à lancer le premier programme de primes aux bogues du gouvernement américain ont déclaré à Engadget par e-mail: «La meilleure astuce est que vous ne pouvez sécuriser que ce que vous savez. En tant qu’hôte, essayez de choisir une plate-forme et découvrez ses fonctionnalités du mieux que vous pouvez, car cela vous aidera à établir vos appels de la manière la plus sécurisée et à vos participants. »

Dans une pandémie cyberpunk idéale, tout le monde ferait un tas de recherches intelligentes très rapidement et choisirait la meilleure application de chat vidéo la plus sécurisée pour que tout le monde puisse rester connecté. Malheureusement, dans cette dystopie, le choix de notre application est généralement effectué par quelqu’un d’autre: celui que nous voyons et avec qui nous parlons de l’autre côté de l’écran. Comme un professeur, notre patron et nos collègues, ou des membres de la famille paniqués et effrayés et des amis.

Si vous ne pouvez pas choisir la meilleure application, assurez-vous de bien choisir vos paramètres (voir la section ci-dessous). Cependant, si vous arrivez à choisir l’application, regardez le paysage – il change rapidement en ce moment.

Zoom a explosé sur la scène de la pandémie il y a deux mois avec une longue liste de problèmes de confidentialité et de sécurité bien ancrés auxquels l’entreprise a dû faire face. Les entreprises plus grandes et bien établies qui possédaient des applications de téléconférence (qui restent utilisées principalement par les clients commerciaux) ont été éveillées par le succès simultané de Zoom à la saturation et l’échec de la confiance et de la sécurité. Zoom travaille à résoudre de nombreux problèmes de sécurité et de confidentialité, mais comme je l’ai dit, la liste est longue et il reste beaucoup de questions sérieuses sur les données collectées par Zoom, les magasins et leur sécurité au repos.

Maintenant, Apple, Facebook, Google, Microsoft et d’autres joueurs comme Telegram se précipitent tous pour concurrencer la barre basse de Zoom, et les résultats sont sans surprise mitigés.

Telegram a annoncé qu’il « offrira des appels vidéo de groupe sécurisés au cours de cette année ». Facebook s’est précipité sur Messenger Rooms, qui ressemble et agit exactement comme Zoom, et nous pouvons probablement étendre ces similitudes en matière de confidentialité sinon de sécurité. Nous connaissons tous la méthodologie de «prendre maintenant, présenter des excuses plus tard» de Facebook concernant la confidentialité et les informations personnelles, mais elle est similaire aux failles de sécurité de Zoom en ce sens qu’il n’y a pas de cryptage de bout en bout. Ce qui signifie que ce n’est pas vraiment sûr, comme le serait un appel FaceTime.

En parlant de FaceTime, il s’agit d’une option très sécurisée – il peut gérer jusqu’à 32 personnes dans un appel vidéo de groupe. Le dossier et les normes d’Apple en matière de confidentialité des utilisateurs sont bien établis. Apple est à peu près la référence en matière de confidentialité et de sécurité à ce stade, bien que son déploiement Group FaceTime ait été précipité et ait connu des problèmes d’écoute clandestine négligents. Vous pouvez passer un appel Group FaceTime sur un ordinateur Mac, un iPhone ou un iPad, mais si la ou les personnes que vous devez appeler ou rencontrer ne sont pas sur un appareil Apple, vous n’avez pas de chance.

Le mois dernier, Skype a publié « Meet Now » – une version de Skype pour laquelle vous n’avez pas besoin de compte (ni de télécharger l’application). Bien que Skype ne soit pas sans problèmes de sécurité et de confidentialité.

Google Meet a également changé rapidement pour la pandémie: Google se dépêche de mettre son outil de conférence d’affaires au public, et ses normes de sécurité sont extrêmement élevées (Meet permet jusqu’à 100 personnes; Google Hangouts fonctionne toujours très bien, mais seulement 10 en vidéo ).

Beaucoup de pirates informatiques et de chercheurs en sécurité recommandent fortement Jitsi, mais sans les investisseurs de Zoom et les relations publiques de Big Tech, ce n’est pas du tout le nom d’un ménage. Vous n’avez pas besoin de télécharger quoi que ce soit, ni de rejoindre le service. Cette application open-source gère jusqu’à 75 participants et s’intègre à Slack, Google Calendar et Office 365. Jitsi est d’une transparence rafraîchissante quant à ses pratiques en matière de confidentialité et de sécurité, et est franc à propos de ses limites de sécurité.

En fin de compte, si vous souhaitez participer à des soirées vidéo en ligne avec tous vos amis ayant des problèmes de sécurité et de confidentialité, vous êtes probablement toujours bloqué avec Zoom. C’est pourquoi les paramètres sont importants.

Vérifiez vos paramètres (avant de vous ruiner)

Médias Pheelings via .

Que vous téléchargiez une application sur votre bureau ou appareil, ou que vous participiez à un appel où le téléchargement d’une application n’est pas requis, la toute première chose à faire est de vérifier tous les paramètres. Sérieusement: c’est l’une des choses les plus importantes que vous puissiez faire pour vous protéger contre les pirates, les entreprises cupides et toutes les erreurs de confidentialité ou de sécurité que vous pourriez faire.

La plupart des écoles, des lieux de travail et des organisations devraient avoir des directives de paramétrage pour vous. J’ai examiné une variété de ces éléments et ils varient tous considérablement, allant de très peu de conseils sur la confidentialité et la sécurité à une quantité écrasante de détails. Certaines fonctionnalités de sécurité ne sont tout simplement pas activées par défaut », explique Tod Beardsley, directeur de la recherche chez Rapid7 et collaborateur de Metasploit. « Ce sont des fonctionnalités telles que l’ajout de mots de passe aux vidéoconférences, permettant en fait E2E [end-ro-end] le cryptage, ou une autre case à cocher qui rend les choses plus difficiles, mais plus sécurisées. Mais vous n’êtes pas une sorte de dilettante décontractée, et en plus, vous avez des secrets à garder. Vous allez cliquer dans ces options de sécurité autres que celles par défaut. »

Lorsqu’on leur a demandé ce que les gens devraient savoir et se soucier de leurs appels vidéo et des soirées Zoom plus privées et sécurisées. Beardsley a déclaré à Engadget par e-mail:

Les conversations vidéo sont point à point. Ils ne flottent pas seulement dans l’éther.

Le cryptage est standard. Le cryptage E2E est l’étalon-or qui résiste même aux initiés et aux fous de la sécurité nationale

Il existe souvent des options de sécurité qui ne sont pas activées par défaut. Activez-les, mais sachez qu’ils ont tendance à rendre les logiciels plus encombrants et plus difficiles à utiliser.

Il y a toujours des bugs. Mais, les bogues restent rarement secrets pour toujours, et les correctifs des bogues sont généralement publiés assez rapidement.

Prenez le temps de cliquer sur tous les paramètres, inspectez votre profil utilisateur et tout ce que vous pouvez accéder pour voir s’il y a quelque chose que vous devez changer. Si quelque chose vous embrouille et que vous ne savez pas quoi faire, notez-le et consultez-le plus tard pour voir si vous devez prendre des mesures.

Désactivez tout ce qui donne à l’application trop d’autorisations, autorise le partage d’informations de tiers et tout ce qui «améliore votre expérience» en donnant aux annonceurs ou partenaires l’accès à vos données. Désactivez les paramètres qui permettent aux étrangers de vous trouver, de vous amis, de rejoindre votre groupe ou votre salle ou de vous envoyer un message. Désactivez définitivement la capacité de quiconque à vous enregistrer. Utilisez des mots de passe sur tout.

Est-ce que cela ressemble à un peu de travail? C’est vrai, mais votre sécurité en vaut la peine. De plus, Beardsley ajoute: « Tout cela vous amène à un bon endroit quand il s’agit de savoir que votre vidéoconférence est secrète pour tout le monde, sauf pour les personnes qui y sont. »

La mauvaise nouvelle est que vous devrez éventuellement vérifier à nouveau vos paramètres; nous ne pouvons pas être sûrs de les vérifier une seule fois et de les oublier. Les entreprises peuvent modifier vos paramètres sans notre consentement ou notre connaissance, et certaines le font: revérifiez vos paramètres à chaque mise à jour de l’application. Le zoom nécessite des mises à jour manuelles et vous devez revérifier vos paramètres chaque fois que vous le faites.

Cependant, la mise à jour de votre application de vidéoconférence est l’un des meilleurs conseils pour rester en sécurité contre les pirates; lorsqu’une entreprise émet un «patch» pour corriger une faille de sécurité, le patch est appliqué via une mise à jour. Katie Moussris, qui s’efforce également de mettre de l’ordre dans la sécurité de Zoom, a déclaré à Engadget par e-mail: «Premièrement, assurez-vous d’être à jour avec les correctifs… Ensuite, si vous hébergez l’appel, vous avez les outils et partagé la responsabilité de garder l’appel aussi sécurisé que possible.  »

Moussris nous rappelle que «Zoom a des conseils sur ce que vous pouvez faire pour sécuriser vos réunions. Ils en ont également un spécial pour les enseignants. »

En parlant de Zoom, une excellente ressource de sécurité est cette page de Paramètres de Sécurisation du Zoom par le Bureau de Sécurité de l’Information de UC Berkeley. Il passe en revue quelques notions de base, et j’aurais souhaité qu’il soit plus détaillé – mais je suis sûr que l’université est aux prises avec les changements constants que Zoom continue d’apporter à ses paramètres, en particulier les emplacements des plus importants. Il est également essentiel de noter que, comme avec d’autres applications, les paramètres de Zoom sont différents sur le bureau que sur le mobile – la dernière fois que j’ai vérifié, les paramètres du bureau sont plus détaillés et vous permettent de contrôler plus que sur le mobile. Par exemple, les hôtes disposent de plus d’outils de gestion et les utilisateurs ne peuvent gérer que les comptes bloqués sur le bureau. Frustrant? Complètement.

Enfin, les hôtes d’événement ou de réunion voudront surtout explorer les paramètres pour la sécurité et la sûreté de tous les participants. Soyez un bon hôte de fête: pensez comme un attaquant lorsque vous parcourez les paramètres des événements et des participants.

Katie Moussris a déclaré à Engadget que trois conseils clés sont les suivants:

Verrouillez la salle de réunion en utilisant des mots de passe et en exigeant une authentification. De cette façon, seules les personnes que vous souhaitez sont en communication.

Verrouillez le partage d’écran. De cette façon, seules les personnes que vous souhaitez peuvent partager leur écran.

Supprimez les participants indésirables ou perturbateurs.

« Si vous effectuez des appels importants », a suggéré Moussris, « pensez à utiliser la diffusion sur le Web au lieu des capacités de visioconférence. Ceux-ci ne donnent le contrôle qu’à l’hôte et aux présentateurs sélectionnés. Il peut vous aider à mieux contrôler les grandes réunions. Et n’oubliez pas de cliquer sur les liens et d’ouvrir les documents qui vous sont envoyés. Vérifiez via un autre canal de communication que l’expéditeur vous a bien envoyé le lien ou le document. »

Je vois Londres, je vois la France

Peter Dazeley via .

Nous savons tous maintenant à quel point le mauvais arrière-plan peut être mauvais pour un appel. Les choses peuvent aller de l’embarras au pire si quelque chose derrière vous compromet votre vie privée. Une chose récente qui m’a surpris (dans le mauvais sens) est le nombre de femmes qui font des appels ou font des vidéos à partager sur les réseaux sociaux qui révèlent ce qui se trouve à l’extérieur de leur maison – montrant effectivement aux harceleurs à quoi ressemble leur maison, ou une vue voisine qui pourrait identifier leur adresse personnelle.

Soyez très conscient de ce que les gens, en particulier la chair de poule, peuvent apprendre sur vous par ce qu’ils peuvent voir. S’ils peuvent vous trouver sur Google Maps / Street View par des détails sur les réseaux sociaux combinés avec un point de repère à l’extérieur de votre maison, vous pourriez avoir des ennuis. Faites également attention à d’autres choses, comme montrer accidentellement un courrier avec votre adresse, ou des gros plans accidentels de votre carte d’identité, d’une carte de crédit ou de toute autre chose que vous ne voudriez pas qu’un étranger prédateur voie.

Lorsque vous n’êtes pas en communication, assurez-vous que l’application n’est pas en cours d’exécution. Les entreprises vous espionnent chaque fois qu’elles le peuvent, alors ne les laissez pas si vous pouvez l’aider. Couvrez votre webcam lorsqu’elle n’est pas utilisée au cas où des applications ou des pirates informatiques s’empareraient de votre appareil photo.

Je sais que c’est beaucoup à prendre en même temps. Si nous avions progressivement atteint cet endroit, une ère de bouclages, 75 000 Américains morts (265 000 dans le monde, et toujours en comptant), et faisant tout ce qui était possible en ligne, il y aurait moins à expliquer ici. Mais il semble que nous soyons dans ce traumatisme au ralenti dans un avenir prévisible, et les appels vidéo sont là pour rester encore longtemps.

L’avenir est tampon

L’expérience de verrouillage des coronavirus est inégale dans le monde (c’est le moins qu’on puisse dire). La Nouvelle-Zélande ne s’est pas contentée de plier la courbe, elle l’a écrasée, et maintenant elle assouplit les restrictions de verrouillage et de quarantaine. Certains pays européens ont le sentiment de vivre le pire et font de même. D’autres pays, comme les États-Unis, sont essentiellement comme la scène des «positions de crash» dans Avion – tout le monde panique en faisant quelque chose de différent dans des extrêmes qui sont soit pleins d’espoir et tout à fait terrifiants.

Cela signifie que si les restrictions s’élèvent à certains endroits, elles resteront dans d’autres. Nous sommes donc coincés avec les appels de groupe vidéo en ligne et leurs problèmes de sécurité et de confidentialité douteux, souvent opaques pour l’instant. Notre dystopie cyberpunk est là pour rester un moment.

Nous avons tous découvert à la dure, rapidement, que les applications de vidéoconférence sont aussi inégales que les pratiques de distanciation sociale à travers le monde. Même si Skype est aussi omniprésent et vieux que le papier toilette, et FaceTime a reçu des appels vidéo hors du bureau, Zoom est devenu en quelque sorte le nom familier que tout le monde a utilisé, du jour au lendemain. Et comme nous le savons tous, Zoom a également introduit des problèmes de sécurité et de confidentialité des applications de vidéoconférence (et le stress, l’anxiété et parfois la terreur qui changent la vie) dans des conversations quotidiennes pour des centaines de milliers de personnes.

Au moins, les dégâts de Zoom pourraient rendre beaucoup de gens, en particulier ceux qui nous intéressent, plus en sécurité dans toute cette folie.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.