Clé à emporter
- Un récent rapport de la société de cybersécurité McAfee révèle que le logiciel d'appel vidéo pourrait être piraté pour espionner les utilisateurs.
- Les applications de rencontre telles que eHarmony et Plenty of Fish figuraient parmi celles identifiées comme vulnérables au piratage.
- Le nombre de personnes utilisant les plateformes de visioconférence a considérablement augmenté, de nombreuses personnes étant contraintes de travailler à domicile pendant la pandémie de coronavirus.
Vos appels vidéo ne sont peut-être pas aussi sécurisés que vous le pensez, selon de nouvelles recherches.
La société de cybersécurité McAfee a publié un rapport révélant une nouvelle vulnérabilité dans un kit de développement logiciel (SDK) d'appel vidéo. Les pirates pourraient exploiter cette vulnérabilité pour espionner les appels vidéo et audio en direct des utilisateurs. Les applications de rencontre telles que eHarmony et Plenty of Fish figuraient parmi celles identifiées comme utilisant la plate-forme SDK vulnérable.
"Que vous assistiez à des réunions de travail virtuelles régulières ou que vous rattrapiez votre famille élargie à travers le monde, en tant que consommateur, il est important de savoir exactement dans quoi vous vous embarquez lorsque vous téléchargez des applications qui vous aident à rester connecté", Steve Povolny, responsable de McAfee Advanced Threat Research, a déclaré dans une interview par e-mail.
"Au fur et à mesure de l'adoption rapide et généralisée des outils et des applications de visioconférence, des menaces potentielles pour la sécurité en ligne apparaîtront inévitablement."
De nombreuses menaces pour les chats vidéo
Le SDK, fourni par la société de logiciels Agora.io, peut être utilisé par des applications de communication vocale et vidéo sur de nombreuses plates-formes, telles que le mobile et le Web. On ne sait pas combien d'autres applications auraient pu être touchées, a déclaré Povolny.
Depuis que McAfee a découvert ce problème de sécurité, Agora a mis à jour son SDK pour fournir le chiffrement. Mais les experts affirment que de nombreux types de communications vidéo restent vulnérables au piratage.
Tout ce qui est connecté à Internet peut être piraté, a souligné Joseph Carson, scientifique en chef de la sécurité de la société de cybersécurité Thycotic, dans une interview par e-mail.
"Tous les appareils qui contiennent des caméras peuvent absolument être abusés pour enregistrer des vidéos, analyser ces données et effectuer une reconnaissance vocale ou faciale", a-t-il ajouté.
"Dans de nombreux incidents, les fournisseurs qui les fabriquent ne permettent pas de les désactiver, ce qui signifie qu'ils se concentrent uniquement sur la facilité d'utilisation et sacrifient presque toujours la sécurité."
Le nombre de personnes utilisant des plateformes de visioconférence a considérablement augmenté, de nombreuses personnes étant contraintes de travailler à domicile pendant la pandémie de coronavirus, a déclaré Hank Schless, responsable principal des solutions de sécurité de la société de cybersécurité Lookout, dans une interview par e-mail.
"Les acteurs malveillants savent qu'il existe de nombreux nouveaux utilisateurs qui ne connaissent pas les applications qu'ils peuvent exploiter", a-t-il ajouté. "Dans ce type de campagne, ils utilisent souvent à la fois des URL malveillantes et de fausses pièces jointes pour attirer des cibles vers des pages de phishing."
Les attaques d'initiés sont la plus grande menace
Les appels vidéo sont plus vulnérables lorsque l'appel est enregistré et stocké sur un serveur tiers ou sur le serveur du fournisseur de l'application, a déclaré Hang Dinh, professeur d'informatique et de sciences de l'information à l'université d'Indiana à South Bend, dans un e-mail. entretien.
Par exemple, les appels vidéo sur Facebook Messenger sont stockés sur les serveurs de Facebook et peuvent être visionnés par les employés de Facebook.
"Si l'un de leurs employés ne fait pas attention à la sécurité, vos appels peuvent être piratés", a ajouté Dinh. "N'oubliez pas que Twitter a également été piraté à cause d'une faute d'initié."
Pour rendre leurs communications plus sécurisées, les utilisateurs doivent choisir des appels vidéo cryptés de bout en bout tels que WhatsApp, Google Duo, FaceTime et ExtentWorld, a déclaré Dinh.
"Le chiffrement de bout en bout signifie que les appels ne sont stockés et déchiffrés sur aucun serveur tiers, y compris les serveurs du fournisseur d'appels", a-t-elle ajouté.
Le logiciel de visioconférence populaire Zoom a également récemment commencé à proposer des appels vidéo cryptés de bout en bout. Pourtant, la fonction de cryptage sur Zoom n'est pas activée par défaut, a noté Dinh.
Pour la plupart des gens, le risque le plus important de piratage vidéo est l'écoute clandestine, a déclaré Chris Morales, responsable de l'analyse de la sécurité chez la société de cybersécurité Vectra AI, dans une interview par e-mail.
"L'autre risque est la perturbation d'une session avec des images et des sons partagés", a-t-il déclaré. "Pensez-y comme un graffiti numérique."
Pour empêcher les pirates d'entrer, les utilisateurs doivent avoir des mots de passe pour toutes les vidéoconférences, a déclaré Morales.
Ce mot de passe ne doit pas être publié publiquement et doit être partagé en privé. Le modérateur peut également, par défaut, activer la sourdine sur tous les participants et désactiver les fonctionnalités de partage d'écran. "La force de ce mot de passe aura toujours un impact sur la capacité d'une personne à accéder à une session en cours", a-t-il ajouté. "Mais c'est bien mieux que pas de mot de passe du tout."
