Vidéoconférence sécurisée : Comment se réunir en toute sécurité et en toute confidentialité

De nos jours, rares sont les bureaux qui ne disposent pas d’une plateforme de vidéoconférence, quelle qu’elle soit. Mais ce que beaucoup de lieux de travail oublient, c’est que la sécurité de la vidéoconférence est tout aussi essentielle que la sécurité des conférences téléphoniques, des emails ou de toute autre forme de communication à distance.

Bien qu’il soit essentiel de sécuriser vos conversations vidéo, il est rarement facile de mettre en œuvre la sécurité. De nombreuses entreprises sont tentées de se contenter de superposer après coup des mesures de sécurité telles que des pare-feu ou des mots de passe supplémentaires sur les outils Web. Cependant, dans la pratique, il s’agit d’obstacles assez simples à franchir pour les hackers, et une fois qu’ils sont franchis, les organisations se retrouvent sans protection contre l’accès illicite aux communications professionnelles privées et même aux données des utilisateurs. Même pour les petites entreprises, des attaques de ce type peuvent être dévastatrices, entraînant à la fois une perte de revenus immédiate et une forte dégradation de la réputation.

L’essentiel d’un service de vidéoconférence sécurisé ne réside pas dans de simples ajouts ou outils superposés. En effet, si la protection n’est pas directement intégrée au service, les conférences téléphoniques que vous organisez sur le Web ne seront pas réellement sécurisées.

Mais à quoi ressemble cette sécurité intégrée ? Nous allons l’expliquer ici en présentant la technologie nécessaire pour assurer la sécurité des vidéoconférences. Pour une meilleure protection, nous passerons également en revue plusieurs bonnes pratiques en matière de sécurité des vidéoconférences.

Mots de passe

Le moyen le plus direct pour un hacker d’obtenir un accès non autorisé aux appels vidéo est de se connecter. Si les mots de passe des utilisateurs sont trop simplistes ou communs, ce ne sera qu’une question de temps avant qu’un cyber-attaquant ne devine simplement les informations d’identification correctes.

C’est pourquoi toute plateforme de visioconférence sécurisée doit exiger des utilisateurs qu’ils créent des mots de passe suffisamment longs et uniques, en particulier des mots de passe comportant des lettres, des chiffres et des caractères spéciaux différents. Comme tout responsable informatique peut vous le dire, il y aura toujours des employés qui utiliseront des mots de passe trop simples ou trop évidents lors de la création d’un compte. Pour lutter contre ce phénomène, un service de téléconférence sécurisé doit carrément rejeter ces mots de passe comme étant insuffisants et demander aux utilisateurs d’en créer de plus longs.

Toutefois, le fait d’exiger des mots de passe longs et complexes ne crée pas en soi un environnement de conférence Web sécurisé. Après tout, les bases de données de mots de passe sont fréquemment piratées et divulguées sur le dark web, donnant accès aux hackers tout aussi facilement.

Heureusement, les bases de données de mots de passe peuvent être sécurisées par le cryptage du fournisseur de logiciels. En appliquant une méthode de cryptage – en particulier, SHA512 et la cryptographie saline (salt cryptography) – les mots de passe stockés dans les bases de données sont rendus illisibles par tous, sauf par le système, grâce à un codage complexe. Cela permet de garantir que, même en cas de violation de la base de données, les données réelles seront illisibles et donc inutilisables pour les hackers.

Authentification unique et authentification à deux facteurs

Toutefois, dans certains cas, les mots de passe complexes peuvent faire obstacle à la sécurité des conférences Web. Les mots de passe longs sont, de par leur conception, difficiles à retenir, et les utilisateurs peuvent donc les écrire ou les enregistrer dans des endroits peu sûrs pour s’en souvenir. En outre, le fait de n’exiger que des mots de passe longs pour se connecter laisse toujours ouverte la possibilité – aussi infime soit-elle – qu’un hacker puisse deviner les informations d’identification d’un utilisateur et s’introduire par force brute.

Une réponse efficace à ce problème est l’authentification unique (SSO). Au lieu de demander un nouveau mot de passe pour sécuriser votre logiciel de vidéoconférence, l’authentification unique permet aux utilisateurs de se connecter à l’aide d’un compte existant, par exemple via Google ou Microsoft. Cela permet aux utilisateurs de réutiliser un mot de passe complexe d’un compte tout en bénéficiant d’une connexion sécurisée pour un logiciel supplémentaire.

Une sécurité supplémentaire peut être ajoutée aux procédures de connexion grâce à l’authentification à deux facteurs (2FA). Dans ce cas, une connexion réussie ne donne pas immédiatement accès à un compte. Les utilisateurs doivent alors saisir un code envoyé à leur adresse électronique ou à leur numéro de téléphone, ou un code généré par une application d’authentification. Cette étape supplémentaire nécessitant l’accès à un appareil ou à un compte supplémentaire, elle réduit considérablement les risques de connexion non autorisée.

Cryptage

Cependant, les hackers sont généralement conscients de la difficulté d’accéder directement aux comptes et se laisseront rarement arrêter par ces seules mesures. Lorsque les tentatives de connexion échouent, les hackers tentent le plus souvent d’intercepter secrètement les vidéoconférences, un peu comme on met un téléphone sur écoute pour l’écouter secrètement.

Le moyen le plus efficace d’empêcher cela est d’utiliser un logiciel de vidéoconférence crypté. Le cryptage, comme nous l’avons dit, brouille les données de manière à les rendre illisibles pour les utilisateurs non autorisés ; plus la méthode de cryptage est sophistiquée, plus il est difficile de déchiffrer les données.

Bien que les chats vidéo utilisent des éléments audio et visuels, et non simplement du texte, il est tout à fait possible de sécuriser les conférences téléphoniques en utilisant les mêmes méthodes de cryptage. L’une des plus fiables est le protocole SRTP (Secure Real-Time Transport Protocol), qui utilise à la fois une clé de chiffrement aléatoire pour les médias et un moyen intégré d’authentification des messages échangés. Cette combinaison d’approches empêche l’interception des vidéos ou leur falsification par des hackers.

Le SRTP peut être rendu encore plus sûr par l’utilisation du protocole DTLS (Datagram Transport Layer Security). Il s’agit d’un protocole qui superpose aux messages un cryptage supplémentaire si complexe qu’il ne peut être déchiffré qu’à l’aide de la clé originale du code. Cette approche est ensuite poussée un peu plus loin en partageant cette clé uniquement avec le ou les autres participants à l’appel vidéo, et non avec un serveur ou une autorité centrale, qui pourrait être piraté. Toutes ces mesures combinées assurent la sécurité sur une base directe de point à point pour une protection encore plus grande.

WebRTC

Un élément souvent méconnu de la conférence Web sécurisée est le WebRTC, une technologie d’échange de médias conçue pour partager des communications directement au sein des navigateurs Web. En plus d’être un composant important pour les transferts de médias en temps réel, le WebRTC est vital pour obtenir la plateforme de vidéoconférence la plus sécurisée possible grâce à ses protocoles de sécurité intégrés.

L’une des plus importantes de ces caractéristiques de sécurité est également fondamentale pour le WebRTC : le fait qu’il fonctionne directement dans le navigateur sans plugins supplémentaires. Par conséquent, le WebRTC et tout logiciel de vidéoconférence associé seront mis à jour à la dernière version dès que vous mettrez à jour votre navigateur. L’installation des derniers protocoles de sécurité est donc nettement plus rapide et permet d’éviter les piratages liés à des vulnérabilités ou à des exploits du système.

En outre, comme le WebRTC s’exécute directement dans le navigateur sans aucune installation sur les appareils, il existe séparément de l’architecture numérique de cet appareil. Cela est essentiel pour la sécurité, car cette configuration signifie que le WebRTC n’est pas affecté par les programmes ou les vulnérabilités installés sur l’appareil ; les logiciels espions, les virus ou les entrées dérobées similaires que les hackers peuvent essayer de créer pour obtenir un accès illégitime ne peuvent pas atteindre la technologie du navigateur et n’affecteront donc pas une plateforme basée sur le WebRTC.

Cela s’ajoute aux mesures de sécurité que le WebRTC met en œuvre par conception. En effet, il est doté d’un cryptage complet de bout en bout via DTLS et SRTP, ce qui signifie que les discussions en ligne utilisant le WebRTC passent par un logiciel de vidéoconférence crypté. Le WebRTC établit également des connexions directes entre navigateurs pour les transferts de données, plutôt que de se connecter à un serveur central, ce qui réduit encore le risque d’interception des médias.

Contrôle du système

Toutes ces mesures de sécurité doivent toutefois aller de pair avec un moyen de visualiser les menaces potentielles ou réelles, sans quoi les utilisateurs n’auront aucun moyen de comprendre les éventuelles vulnérabilités du système.

Cette exigence est en fait assez simple à confirmer dans un logiciel : le système doit simplement disposer d’un outil ou d’une API permettant de consigner les instances auxquelles il a été accédé, et cet outil doit être facilement accessible aux techniciens locaux. C’est encore mieux si le système comprend un moyen d’alerter les conseillers en sécurité si l’une de ces entrées semble illégitime, bien sûr – mais plus important encore, il est carrément vital que cet outil émette des alertes automatiques aux administrateurs du système lorsqu’il détecte des intrusions complètes.

De toute évidence, cela s’explique en grande partie par le fait que les techniciens doivent être immédiatement informés de tout piratage dès qu’il se produit afin de sécuriser à nouveau le système et de corriger les vulnérabilités. Mais il est également important d’avoir une surveillance constante du système pour rester vigilant face aux attaques en masse du système, connues sous le nom d’attaques par Déni De Service distribué (DDoS). Bien qu’un système de visioconférence sécurisé soit en mesure de prévenir ces attaques dès le départ en bloquant simplement l’excès de trafic provenant des adresses IP à l’origine de l’attaque, il est néanmoins essentiel que les administrateurs s’en rendent compte immédiatement. Un retard dans la visualisation ou le signalement de ces menaces ne fait que laisser la possibilité aux hackers de réévaluer leur plan d’attaque et de revenir avec des méthodes plus efficaces.

Les outils intégrés pour cette surveillance sont essentiels ; pour une efficacité maximale, ils doivent inclure des ensembles de données et des ventilations statistiques de la nature des tentatives d’accès. Il serait encore mieux que le système prenne en charge l’intégration avec des outils de surveillance externes (par exemple, Zabbix). L’essentiel est que, sans mesures permettant d’examiner les tentatives d’accès et les intrusions réussies, il sera impossible de modifier et d’améliorer les mesures de sécurité actuelles.

Outils de modération

Jusqu’à présent, nous avons abordé les outils permettant d’éviter les piratages et l’interception des données. Ces outils sont tous inestimables pour les entreprises, mais ils sont loin d’être les seuls nécessaires à la sécurisation des réunions vidéo. Après tout, il est non seulement possible, mais aussi très courant, que des cyber-attaquants s’introduisent dans des appels Web et perturbent les procédures (une pratique communément appelée “Zoombombing”).

Pour éviter de telles perturbations, une plateforme de vidéoconférence sécurisée doit également disposer d’outils permettant de limiter l’accès aux conférences téléphoniques, ainsi que d’outils permettant de contrôler les appels eux-mêmes.

L’une des mesures de protection les plus courantes consiste à définir un mot de passe pour les conférences, ce qui permet en théorie d’exclure les invités indésirables. Pour les petites conférences ou les événements internes, cela peut être un moyen essentiel de garantir la confidentialité.

Pour les conférences plus importantes, cependant, les mots de passe sont presque toujours partagés avec les invitations aux réunions, ce qui signifie que des mesures de sécurité supplémentaires doivent être disponibles. L’une de ces méthodes consiste à sécuriser les appels vidéo en n’autorisant que les utilisateurs invités, c’est-à-dire les utilisateurs disposant d’un login spécifique sur le logiciel d’appel vidéo. De cette façon, toute personne ne disposant pas d’une autorisation d’accès explicite sera instantanément empêchée d’écouter votre appel.

Toutefois, même cette mesure est susceptible d’échouer : les piratages de mots de passe, les vulnérabilités du système et les failles de sécurité imprévues peuvent toujours permettre à des invités indésirables de participer aux appels vidéo. C’est pourquoi tout système d’appel vidéo sécurisé doit également disposer d’outils de modération en dernier recours pour m aintenir l’ordre et la confidentialité au sein de la conférence.

Les plus critiques de ces capacités de modération sont :

• Mettre en sourdine les micros des utilisateurs (notamment mettre en sourdine tous les utilisateurs ou tous les utilisateurs sauf un).
• Désactiver la vidéo des utilisateurs (notamment tout pour tous les utilisateurs ou tous sauf un utilisateur).
• Bloquer les tentatives de partage d’écran.
• Retirer des utilisateurs spécifiques de l’appel.

Pour maintenir la sécurité, il faut que toutes ces mesures soient disponibles, même si – comme tout dernier recours – il est préférable qu’elles ne soient jamais utilisées.

Il faut savoir que sans de telles capacités, la création d’une conférence téléphonique Web sécurisée devient beaucoup plus difficile en cas de défaillance d’une ou plusieurs mesures externes.

Meilleures pratiques en matière de sécurité des vidéoconférences

Même si de telles mesures de sécurité sont en place, des violations peuvent toujours survenir à la suite d’une simple erreur humaine. C’est pourquoi, en plus d’utiliser une technologie efficace pour sécuriser vos webconférences, il est essentiel que le personnel garde toujours à l’esprit les meilleures pratiques en matière de sécurité des vidéoconférences.

Bien que la technologie soit conçue avec une sécurité activée par défaut, les employés ont toujours la possibilité de contourner cette sécurité, que ce soit par ignorance ou par malveillance. Comme nous l’avons dit plus haut, les mots de passe et l’accès aux comptes sont au premier plan : si un hacker obtient les informations de connexion d’un compte d’employé sur votre plateforme de visioconférence, il aura accès à des quantités incalculables de données et de communications.

La meilleure pratique de sécurité en matière de vidéoconférence consiste donc à préserver la confidentialité des mots de passe dans tous les cas. Les employés ne doivent jamais partager leurs mots de passe par le biais du chat, de l’email ou même d’appels téléphoniques, car les hackers tentent souvent de tromper les utilisateurs en leur donnant ces informations en se faisant passer pour une personne légitime de l’entreprise (une pratique connue sous le nom de « phishing »). Tant que les identifiants de connexion restent totalement confidentiels, vous aurez déjà fait beaucoup pour sécuriser vos vidéoconférences.

Dans le cadre des appels vidéo, il y a bien évidemment d’autres directives à suivre. Les plus importantes sont :

1. Faites immédiatement sortir les participants suspects : À moins que vous n’organisiez un forum large et ouvert, les utilisateurs que vous ne reconnaissez pas ne devraient tout simplement pas participer aux appels vidéo. Pour éviter qu’ils ne perturbent l’appel ou n’entendent des informations confidentielles, faites-les sortir immédiatement.
2. N’ayez pas peur de « mettre en sourdine » : Si un groupe de trolls entre dans votre appel, il est essentiel de les faire taire pendant que vous cherchez à les éliminer. L’utilisation libérale de la fonction « mute all » aidera à maintenir l’ordre pendant cette opération.
3. Évitez les liens suspects dans le chat : De nombreux hackers placent des URL dans le chat afin de faire des ravages même après que vous les ayez éliminés. Comme ces liens dirigeront toujours les utilisateurs vers des sites de spam ou dangereux, conseillez-leur de ne pas cliquer dessus ou, mieux encore, supprimez carrément ces messages.
4. N’oubliez pas de désactiver les vidéos et les partages d’écran : De nombreux trolls perturbent les appels avec des images obscènes en plus du bruit excessif. Les modérateurs et les hôtes doivent donc toujours garder à l’esprit qu’ils peuvent également désactiver la vidéo ou bloquer les partages d’écran des invités indésirables.
5. Ajoutez des limites de conférence si nécessaire : Les mots de passe ou les limites d’utilisateurs peuvent être un moyen efficace d’empêcher les trolls d’apparaître dans vos appels vidéo. Lorsque le large accès n’est pas un problème, envisagez de les utiliser comme une mesure de sécurité supplémentaire.
6. Utilisez les paramètres « start with mic and video off » : Pour les conférences ouvertes à un large public, le fait de paramétrer la conférence pour que les utilisateurs soient initialement en sourdine et sans vidéo peut servir de palliatif aux perturbations.
7. Sachez quand privilégier les webinars : Les événements réunissant de nombreux participants mais seulement quelques intervenants sont généralement mieux présentés sous forme de webinars que de vidéoconférences, car dans le cadre d’un webinar, la participation du public est limitée. Cela permet de limiter au maximum les perturbations, même sans grande modération.

La prise en compte de l’une ou de l’ensemble de ces meilleures pratiques en matière de sécurité des vidéoconférences renforcera la sécurité offerte par une technologie efficace.

Réflexions finales

Avec la généralisation du travail à distance et du télétravail, il n’a jamais été aussi important d’assurer la sécurité des conférences téléphoniques et des chats vidéo. Mais cette sécurité ne se limite en aucun cas aux appels eux-mêmes ; il est tout aussi important de protéger le système et les données associées, y compris les fichiers échangés et les enregistrements d’appels, contre tout accès non autorisé.

Certaines bonnes pratiques peuvent être d’un grand secours à cet égard, mais elles ne suffisent pas à elles seules. Des protocoles intégrés tels que la protection de la connexion, le cryptage et les connexions directes entre navigateurs peuvent fonctionner en tandem pour préserver la confidentialité de toutes vos réunions d’affaires, même lorsqu’elles se déroulent sur Internet.

Mais il est essentiel que ces mesures soient un composant intégré et toujours actif de la plateforme, plutôt que des ajouts qui peuvent être désactivés. Pour que les appels vidéo soient vraiment sécurisés, les mesures de protection doivent être un aspect inhérent du système et être intégrées directement dans sa conception.

Pour voir un exemple d’application de conférence téléphonique entièrement sécurisée, voyez comment la sécurité est intégrée à Wildix, le premier outil de vidéoconférence par navigateur conçu pour les ventes.

Pour obtenir d’autres conseils sur la cybersécurité et la sécurité des technologies commerciales, abonnez-vous pour recevoir gratuitement notre magazine !