Le nouveau cas de «zoom bombing» relevé le 7 mai dernier en Angleterre, où 60 enfants ont été exposés à des images d'agression sexuelle durant un cour de gym vidéo donné sur Zoom, rappelle à tous que les appels vidéo et visioconférences sont vulnérables aux attaques informatiques.
Le boom des usages autours des applications que sont Zoom, Teams, Webex, Google Meet ou encore WhatsApp... a en effet suscité de nouvelles idées de la part des cybercriminels. «Durant ces deux derniers mois, la forte du hausse du télétravail et des appels vidéo qui y sont liés a été accompagnée d'un boom des attaques malveillantes», commente Candid Wuest, vice-président du centre de recherche en cyberprotection chez Acronis.
Cette société spécialisée dans la cybersécurité souligne que Zoom a été particulièrement visé par les pirates informatiques. Le phénomène de «Zoom bombing», qui voit un inconnu s'introduire dans une conversation vidéo à l'insu des participants, a ainsi été connu du grand public. Et si certaines attaques étaient l'œuvre de particuliers à l'humour douteux, voire offensant, d'autres ont été préparées par des professionnels «afin de voler des mots de passe et des données. Sur Microsoft Teams, nous avons également constaté une attaque malveillante basée sur un GIF qui, une fois partagé entre tous les intervenants, permettait d'installer un programme pour récupérer des informations qui pourraient être sensibles», souligne Candid Wuest. Autre faille exploitée parmi ces logiciels, la partie messagerie instantanée. «Les chats peuvent aussi être utilisés pour envoyer des liens cliquables afin de faire télécharger des logiciels malveillants», prévient-il.
Des appels vidéo à «verrouiller»
Parmi les conseils prodigués par cet expert, il convient de ne pas oublier de créer des sessions de visioconférence en leur attribuant un mot de passe, qui devra être différent pour chaque réunion. Toutes les applications comme Zoom, Teams, Google Meet, Skype Entreprise ou Webex propose cette option. «Mon conseil est également de créer une «waiting room» (salle d'attente) avec un administrateur pour la session qui pourra vérifier préalablement qui se joint à la conférence. Il est aussi possible de limiter les pouvoirs donnés aux participants», précise Candid Wuest. Parallèlement, la société Acronis vient de sortir une version ouverte à tous et gratuite de son logiciel de cyberprotection globale jusqu'à la fin juillet. Celui-ci permet de protéger plusieurs types de logiciels, avec des tâches de cybersécurité gérer notamment grâce à l'intelligence artificielle, afin de faciliter les usages et d'automatiser certaines tâches pour se prémunir des cyberattaques.