TOOLinux

Le journal du Libre

Bonnes pratiques : des visioconférences sûres durant le COVID-19

lundi 6 avril 2020

Un fournisseur de services de visioconférences, BlueJeans, publie ses « 8 bonnes pratiques », alors que l’usage de la vidéo a triplé en un peu plus d’un mois. Quid des logiciels libres ?

En moins de deux mois, les pays de presque tous les continents ont enregistré une augmentation de 100 à 300% ou plus de l’usage de la visioconférence, comparé aux indicateurs d’avant la crise du COVID-19.

Augmentation de l’usage de la visioconférence BlueJeans en Europe au 02/04/20

L’éditeur BlueJeans recommande 8 règles à suivre pour "éviter les types les plus courants de failles de sécurité et de confidentialité des vidéoconférences".

Visioconférence : les règles à suivre

- 1- Être prudent en partageant son Identifiant de réunion : bien que chacun souhaite rallier le plus grand nombre à sa réunion ou à son événement en direct, exposer son identifiant de réunion sur les réseaux sociaux, les sites web ou d’autres forums publics peut attirer des intrus. Il existe de nombreux exemples où des participants ont partagé des contenus déplaisants lors d’événements "ouverts à tous". Il convient d’être particulièrement vigilant à ce sujet, notamment si votre réunion implique des enfants. Comme précaution minimale, il est recommandé de générer un identifiant de réunion unique pour une réunion donnée. En ne révélant pas votre identifiant personnel de réunion au public, vos futures réunions n’attireront pas d’invités indésirables.

- 2- Toujours utiliser des codes d’accès : les organisateurs de réunions doivent attribuer un code d’accès pour le modérateur et, si possible, un code pour les participants afin de renforcer la sécurité de la réunion. Les codes modérateur exigent que l’hôte de la réunion (ou un participant désigné) saisisse un code unique pour démarrer la réunion. Cela permet d’éviter les comportements à risque avant l’arrivée de l’organisateur. Les codes participants ajoutent un niveau de sécurité supplémentaire, en permettant uniquement à ceux qui ont le bon code de rejoindre la réunion. Certains services de vidéoconférence offrent également une détection avancée de la fraude, afin de détecter et de signaler les échecs répétés de connexion et de participation à la réunion. Cela permet de bloquer tout intrus malveillant à la recherche d’identifiants de réunion sur une période donnée.

- 3- Connaître la politique de confidentialité de votre fournisseur : lire les « petits caractères » sur la confidentialité des données s’avère parfois fastidieux, mais peut éviter de se retrouver dans une situation qui compromet l’entreprise et ses employés. Si la plupart des fournisseurs partagent un certain niveau de données avec des tiers, les risques sont parfois cachés dans les détails. Certains fournissent à des tiers les données personnelles des participants, d’autres ne fournissent que des données agrégées sur les informations relatives aux appels, telles que la durée, le lieu et le nombre de participants. Si un système partage des données personnelles avec des tiers, la législation de la plupart des pays oblige à les communiquer aux participants à la réunion. Ne pas hésiter à consulter un juriste si certains éléments ne sont pas clairs.

- 4- Surveiller qui se connecte la réunion : les organisateurs de réunions ont la possibilité de suivre les participants de différentes manières, selon le système qu’ils utilisent. La plupart permet à l’organisateur de déclencher une alerte sonore pour annoncer l’arrivée de nouveaux participants. Certains affichent également des bannières d’entrée et de sortie avec le nom des participants rejoignant la réunion. Par ailleurs, l’organisateur doit régulièrement consulter la liste des participants connectés : si des noms non reconnus ou anonymes figurent sur la liste, l’organisateur doit leur demander de confirmer leur identité par la voix ou le chat.

- 5- Garder le contrôle : pour éviter que des participants indésirables se connectent à une réunion ou un événement, s’assurer que le système utilisé permet à l’organisateur d’exclure un participant et de l’empêcher de se connecter à nouveau. Certains systèmes permettent également de verrouiller une réunion une fois que toutes les personnes requises sont présentes, ce qui est essentiel lorsque les participants prévoient de couvrir des informations sensibles et confidentielles. Un problème courant se pose lorsqu’un organisateur de réunions consécutives utilise son identifiant personnel de réunion. Le temps d’une réunion est dépassé et les participants de la réunion suivante se connectent, écoutant ainsi la réunion précédente. Si cela a des chances de se produire, planifier à l’avance et utiliser un identifiant unique pour une réunion donnée.

La plupart des systèmes permettent à l’organisateur de couper l’audio et la vidéo de certains ou de tous les participants. Cela permet de garder le groupe concentré et d’éviter les perturbations, y compris par des invités indésirables. Les participants qui souhaitent poser des questions ont d’autres options, selon le système. Certains permettent aux participants de « lever la main » virtuellement puis de poser des questions par la voix ou par le chat.

Attention, certaines plateformes permettent des transferts de fichiers qui peuvent s’avérer être des canaux de diffusion de logiciels malveillants. Veiller à ce que les organisateurs de réunions puissent désactiver le "transfert de fichiers" pour éliminer les risques.

- 6- Utiliser les fonctions de modération pour les grandes réunions et les grands événements en direct : lorsque les entreprises doivent organiser de grandes réunions ou des événements de plus de 25 personnes, elles doivent investir dans des systèmes dotés de capacités et de dispositifs de sécurité appropriés. Les systèmes conçus pour des groupes plus importants permettent aux organisateurs de déléguer la surveillance et la gestion des participants, mais également de modérer les séances de questions-réponses.

- 7- Utiliser des réunions à partir d’un navigateur pour éviter les retards de téléchargement : certaines plateformes exigent l’installation de logiciels, ce qui peut retarder le début des réunions. Pour éviter que les participants n’aient à télécharger des logiciels avant de se joindre à la réunion, rechercher des fournisseurs de vidéoconférence qui prennent en charge les options basées sur un navigateur et qui utilisent la norme de communication temps réel WebRTC. Cette norme permet aux utilisateurs de simplement cliquer sur un lien pour se connecter aux réunions via un navigateur web.

- 8- Appliquer les règles d’hygiène de sécurité : selon les experts en sécurité en ligne de Check Point, 90 % des cyberattaques commencent par une campagne de phishing. En cas de réception d’un lien par e-mail ou par les réseaux sociaux pour participer à une vidéoconférence, contacter l’expéditeur pour confirmer sa légitimité. Ne jamais ouvrir les liens et les pièces jointes provenant d’expéditeurs inconnus. Rechercher les indices classiques de la cybercriminalité comme les fautes d’orthographe dans les URL et les e-mails.

Quid des logiciels libres ?

Certains utilisateurs recherchent une solution open source pour remplacer les logiciels propriétaires de vidéoconférence. L’alternative existe et s’appelle Jitsi Meet.

Jitsi (anciennement SIP Communicator) est une application libre multiplateforme de messagerie instantanée, de voix sur IP et de visioconférence. Le logiciel a été créé à l’origine au sein du LSIIT, un laboratoire de l’université de Strasbourg.

Une instance publique gratuite "Avec vous" vient d’ailleurs d’être lancée par Linagora en France. Les arguments ? "Avec le confinement, nous n’avons jamais eu autant besoin de télé-travailler et de communiquer en ligne : cette solution de vidéoconférence est basée sur des Logiciels Libres ; elle est souveraine et ne récolte pas vos données personnelles. Enfin elle est gratuite."

En Suisse, l’hébergeur Infomaniak vient de lancer son propre service de visioconférence basé lui aussi sur Jitsi Meet. Nous vous en parlions dans notre édition du 3 avril dernier. "Tout le monde peut utiliser Meet sans limite pour faire du télétravail ou du home office", explique Infomaniak, en rappelant l’avantage par rapport à Zoom, soumis au Cloud Act : "les échanges sont chiffrés et les données transitent par nos datacenters en Suisse".