Nouvelle cible des hackers pendant la pandémie: visioconférences

Ceri Weber venait de commencer à défendre sa thèse lorsque le chaos a commencé: des échos et des voix l'ont interrompue. Quelqu'un a parroté ses mots. Puis la musique de Britney Spears est arrivée, et quelqu'un a dit à Weber de se taire. Quelqu'un a menacé de la violer.

Les pirates avaient ciblé la réunion sur la plateforme de vidéoconférence Zoom pendant que Weber terminait la dernière étape de son doctorat à l'Université Duke. Le harcèlement a duré 10 minutes – le résultat d'une forme de cyberattaque de plus en plus courante connue sous le nom de «bombardement à zoom».

Alors que des dizaines de millions de personnes se tournent vers la vidéoconférence pour rester en contact pendant la pandémie de coronavirus, beaucoup ont signalé des invités non invités qui menaçaient, interceptaient des messages racistes, anti-gay ou antisémites ou montraient des images pornographiques. Les attaques ont attiré l'attention du FBI et d'autres organismes chargés de l'application des lois.

"On aurait dit que quelqu'un était juste idiot", mais ensuite les intrusions "ont commencé à devenir plus sérieuses et menaçantes", a rappelé Weber. "J'étais vraiment dans la zone et j'ai continué à présenter." Elle a dit qu'elle était plus préoccupée par les autres personnes dans le chat qui auraient pu avoir peur. Elle a été interrompue malgré le fait qu'elle ait sélectionné «tout mettre en sourdine» dans les paramètres de la réunion qu'elle a menée depuis son domicile à Durham, en Caroline du Nord.

Un lycée du Massachusetts a rapporté que quelqu'un avait interrompu un cours virtuel sur Zoom, avait crié des injures et avait révélé l'adresse du professeur. Une autre école de cet État a signalé une personne qui avait accédé à une réunion et montré des tatouages ​​à croix gammée, selon le FBI.

Le bureau extérieur de l'agence à Boston a recommandé que les utilisateurs des plates-formes de vidéoconférence accordent la priorité à leur sécurité en s'assurant que les hôtes ont le contrôle exclusif des fonctionnalités de partage d'écran et des invitations aux réunions.

À New York, le procureur général Letitia James a envoyé une lettre à Zoom avec des questions sur la façon dont la confidentialité et la sécurité des utilisateurs sont protégées. Dans un autre article plus tard, le sénateur Richard Blumenthal du Connecticut a demandé des informations sur la façon dont la société gère les données personnelles des utilisateurs et protège contre les menaces et les abus de sécurité.

Zoom a qualifié les trolls de "planteurs de fête", ce que certains critiques ont considéré comme un signe que la société minimise les attaques.

Dans un communiqué publié la semaine dernière, la société a déclaré à l'Associated Press qu'elle prend la sécurité des réunions au sérieux et encourage les utilisateurs à signaler tout incident directement à Zoom. La société a suggéré que les personnes qui organisent de grandes réunions publiques confirment qu'elles sont les seules à pouvoir partager leur écran et utiliser des fonctionnalités telles que les commandes de sourdine.

"Pour ceux qui organisent des réunions privées, les protections par mot de passe sont activées par défaut, et nous recommandons aux utilisateurs de conserver ces protections pour empêcher les utilisateurs non invités de se joindre", a déclaré la société. Zoom a récemment mis à jour les paramètres de partage d'écran par défaut pour les utilisateurs de l'éducation afin que les enseignants soient par défaut les seuls à pouvoir partager du contenu.

Malgré la mise à jour, le Clark County School District du Nevada, qui comprend toutes les écoles publiques de Las Vegas, et le ministère de l'Éducation de New York, qui est responsable du plus grand district scolaire des États-Unis, ont dit aux enseignants de cesser d'utiliser Zoom.

Le bombardement par zoom a toujours été une menace compte tenu de la configuration de l'application de vidéoconférence – davantage axée sur la convivialité que sur la confidentialité, a déclaré Justin Brookman, directeur de la politique de confidentialité et de technologie de Consumer Reports.

Lorsque les mandats d'abri à domicile ont soudainement transformé Zoom en une bouée de sauvetage pour des dizaines de millions de familles, il est devenu une cible juteuse pour les méfaits, a-t-il déclaré.

Pendant des années, "les problèmes de convivialité l'emportaient sur les problèmes de sécurité potentiels parce que la société était moins dépendante d'eux. De toute évidence, cela a radicalement changé au cours du mois dernier", a ajouté Brookman.

Certains bombardiers Zoom ont pu deviner au hasard les identifiants de réunion et les conférences de crash non configurés pour empêcher les intrus, a-t-il déclaré.

Dans d'autres cas, des utilisateurs inexpérimentés ont dévoilé des identifiants de réunion en ligne, y compris le Premier ministre britannique Boris Johnson, qui a tweeté une capture d'écran d'une réunion du Cabinet Zoom qui montrait l'ID et le nom d'écran de chacun.

Brookman a déclaré que Zoom peut faire plus pour renforcer les protections de la vie privée pour une base d'utilisateurs massive qui va maintenant des enfants des écoles élémentaires aux personnes âgées discutant de leurs testaments avec des avocats.

"Beaucoup de gens, dont nous, critiquent la façon dont ils permettent aux hôtes de surveiller les utilisateurs pour s'assurer qu'ils prêtent attention à l'écran, ou lisent les DM ou enregistrent l'appel quand ce n'est pas tout à fait clair", a déclaré Brookman.

Une mère en Géorgie a déclaré à une chaîne de télévision locale que son fils était "embarrassé et un peu hystérique" après que quelqu'un ait piraté son cours en ligne et montré de la pornographie aux enfants et au professeur.

Le révérend Jason Wells tenait récemment un forum publié publiquement sur Zoom lorsqu'un troll est entré et a utilisé la boîte de discussion pour publier une insulte raciale tant de fois que cela a rendu la fonctionnalité inutilisable pour les autres participants.

"Je ne dirais pas que ce fut un vandale au hasard espérant interrompre quelqu'un", a déclaré Wells, qui est directeur exécutif du New Hampshire Council of Churches à Concord et coprésident d'un chapitre d'État de la Campagne des pauvres, qui fait partie d'un mouvement. pionnier par le révérend Martin Luther King Jr. L'intrus a finalement été retiré et bloqué.

Alors que le révérend Laura Everett prononçait un sermon via Zoom pour la première église baptiste de Boston, un utilisateur qui avait vu le service religieux annoncé était entré dans la session de vidéoconférence et avait crié des insultes homophobes et racistes. Everett a déclaré qu'elle avait tweeté le lien vers le sermon parce qu'elle voulait "que les portes de l'église soient ouvertes à toute âme fatiguée qui recherche un mot de réconfort".

"C'était, à toutes fins utiles, un lieu de culte qui a été violé", a-t-elle déclaré. "Zoom et toutes les autres entreprises portent la responsabilité principale de la sécurité des utilisateurs."

À Oakland, en Californie, Malachi Garza a signalé une attaque contre une conférence Zoom qu'elle a organisée pour environ 200 participants, y compris des personnes anciennement incarcérées qui ont une expérience de l'isolement cellulaire et qui luttent avec les ordonnances de séjour à domicile de la pandémie.

La conférence organisée par le réseau philanthropique Solidare a été interrompue par un langage raciste et anti-transgenre et des images pornographiques ont été diffusées sur un écran partagé.

Zoom doit "dire la vérité et appeler cela ce qu'elle est vraiment", a déclaré Garza. "C'est de la terreur raciale, pas des krachs de fête."

© 2020 The Associated Press. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation.