La montée en puissance de Zoom pendant la pandémie de Covid-19 a été incroyablement impressionnante, beaucoup d’entre nous utilisant maintenant l’outil pour organiser des réunions avec des collègues, suivre des cours en ligne ou rester en contact avec leurs amis et leurs proches. Mais cela a également fait du service une cible pour les utilisateurs malveillants, qui bloquent les réunions et harcèlent les participants.
Connu sous le nom de « Zoombombing », ces perturbations vont d’ennuyeuses à carrément offensantes et effrayantes, et un nouveau rapport, intitulé Un premier regard sur Zoombombing, a révélé que bon nombre des moyens les plus populaires de protéger nos réunions Zoom – ainsi que les appels vidéo sur d’autres services – ne sont tout simplement pas efficaces.
Alors que les individus et les organisations ont essayé de protéger leurs réunions en utilisant des mots de passe, en ne donnant pas de liens publiquement, ou même en annonçant leurs réunions en dehors de leurs employés, le rapport suggère que celles-ci ne sont pas toujours efficaces en raison d’une hypothèse erronée: que les « zoombombers malveillants » ‘sont des attaques extérieures d’utilisateurs qui ont piraté une réunion aléatoire.
Plutôt inquiétant, le rapport suggère que «la grande majorité des appels au zoombombing ne sont pas lancés par des attaquants qui tombent par hasard sur des invitations à des réunions ou qui renforcent brutalement leur ID de réunion, mais plutôt par des initiés qui ont un accès légitime à ces réunions.»
Sommaire
Emplois à l’intérieur?
Le document a été rédigé par des chercheurs de l’Université de Boston et de l’Université d’État de New York à Binghamton, qui ont étudié les preuves d’appels zoombombing, ainsi que des publications sur des sites tels que Twitter et 4chan.
Il a constaté que les utilisateurs avec des invitations légitimes à ces réunions partageaient les informations avec d’autres personnes ou effectuaient eux-mêmes le zoombombing, et que cela affectait particulièrement les réunions et les cours de zoom dans les lycées et les collèges.
Le document identifie trois principales contre-mesures de sécurité que les personnes et les organisations mettent en place pour protéger leurs réunions en ligne, à savoir la protection par mot de passe des réunions, éviter les annonces publiques des réunions sur les réseaux sociaux et utiliser la fonction Salle d’attente de Zoom pour admettre des personnes à la réunion.
Comme les chercheurs l’ont constaté, ces mesures peuvent offrir une protection contre les attaques aléatoires, mais sont pratiquement inutiles si le zoombombing est orchestré par quelqu’un avec une invitation légitime.
Cela signifie que les mots de passe sont partagés, ainsi que les détails sur les réunions. Les noms d’autres invités légitimes peuvent également être partagés, ce qui permet aux utilisateurs malveillants de se connecter sous un nom différent, ce qui signifie que la fonction de salle d’attente devient moins efficace.
De plus, plus la réunion Zoom est grande, plus il est difficile de contrôler chaque participant.
Alors, que peut-on faire? Les chercheurs suggèrent que la protection la plus efficace consiste à créer des liens de rencontre personnalisés. « De cette façon, tant que l’initié rejoint la réunion, les personnes non autorisées ne pourront pas participer en utilisant le même lien. »
Bien que cela puisse aider, pour le moment, seuls Zoom et Webex autorisent les liens de réunion personnalisés. Les chercheurs encouragent d’autres services à adopter ces fonctionnalités.
Comme le rapporte Arstechnica, Zoom a fourni un commentaire, disant que «Zoom offre des capacités de lien uniques lorsque l’inscription à une réunion est activée. Nous avons également récemment mis à jour un certain nombre de paramètres par défaut et ajouté des fonctionnalités pour aider les hôtes à accéder plus facilement aux contrôles de sécurité en cours de réunion, notamment le contrôle du partage d’écran, la suppression et le signalement des participants et le verrouillage des réunions, entre autres actions. »
La société travaille également avec les utilisateurs pour les éduquer à la sécurisation de leurs réunions et encourage tous ceux qui subissent un zooming à signaler les incidents à Zoom et aux forces de l’ordre.
