Depuis l’avènement du télétravail et avec le développement de l’IA, le « zoombombing » perturbe des réunions en ligne, souvent stratégiques, dans un but malveillant. Pour l’éviter, la sécurité des visioconférences doit être maximale à tous les niveaux.

C’est quoi le « zoombombing » ? 

Le « zoombombing » est une intrusion non désirée dans une réunion en ligne. Lors de la crise sanitaire et de la généralisation du télétravail, l’utilisation massive et soudaine de la visioconférence a fait exploser ce phénomène. Le « zoombombing » tient d’ailleurs son nom d’un nombre important d’irruptions de personnes malveillantes durant des visioconférences Zoom.

En effet, ces intrus peuvent avoir différents objectifs lorsqu’ils rejoignent une visioconférence, allant de la simple perturbation de la réunion à la récupération d’informations sensibles telles que les noms des participants, l’objet de la réunion, des documents ou des données figurant sur des partages d’écran…

Conséquences judiciaires du « zoombombing »

Des répercussions judiciaires sont possibles pour ce type de cyberattaque. Considéré comme une violation de la vie privée, il peut être puni par l’article 226-1 du Code pénal. Dans le cas où des contenus pornographiques sont diffusés, le zoombombing peut également être qualifié d’exhibition sexuelle selon l’article 222-32 du Code pénal. Enfin, l’article R624-2 du Code pénal prévoit une amende pour la diffusion de messages contraires à la décence dans des lieux publics. 

Exemples d’intrusions dans des réunions en ligne et leurs conséquences

Une intrusion dans une visioconférence n’est pas seulement dérangeante pour la conduite de la réunion. Cela représente aussi un danger pour la confidentialité des informations échangées et peut nuire à l’image d’une organisation ou d’une administration publique.  

Intrusion dans une entreprise

Dans un flash sur les risques liés aux visioconférences, la DGSI cite l’exemple d’une intrusion dans une visioconférence d’une entreprise, pour diffuser des messages à caractère terroriste. En cause ? L’absence de contrôle des accès à la visioconférence : l’inscription était libre et le niveau de sécurité du mot de passe de l’application était très faible. Ce manque de protection a facilité l’intrusion des individus.

Réunion du conseil municipal de Laguna Beach

En février 2024, la réunion du conseil municipal de la ville de Laguna Beach, en Californie, tenue en visioconférence, a été perturbée par un zoombombing. Des individus ont partagé des contenus offensants et des discours haineux

Visioconférence du ministre de l’Industrie Roland Lescure

En France, en juillet 2024, la visioconférence du ministre de l’Industrie Roland Lescure a été perturbée par la diffusion de vidéos pornographiques. À trois reprises, alors qu’il s’adressait à 200 électeurs de sa circonscription, le ministre a été interrompu par ces zoombombing, visant vraisemblablement à nuire à sa campagne électorale.

Réunion de la Réserve fédérale américaine

De la même manière, une visioconférence de la Réserve fédérale américaine a été annulée après l’apparition d’images pornographiques, diffusées par un anonyme ayant pris part à la réunion. Une centaine de représentants des grandes banques américaines étaient présents durant cette réunion en ligne. Une perturbation qui engendre des risques de vols de données et ternit la réputation de l’organisation.

Un indispensable : la sécurité du logiciel de visioconférence utilisé

La conception « Secure by Design »

Ces intrusions peuvent être limitées si le logiciel de visioconférence répond à l’approche du « Secure by design ». Il s’agit de concevoir un logiciel en abordant les notions de sécurité dès les premières étapes de son développement, afin de prévenir les risques de failles de sécurité.

Fonctionnalités de sécurité du logiciel

Les accès du logiciel ou encore ses fonctionnalités font ainsi l’objet d’analyses strictes dès les prémices de leur conception. De ce fait, dès qu’une vulnérabilité est découverte, elle est immédiatement corrigée avant que le logiciel soit déployé.

D’autres critères permettent de s’assurer de la sécurité du logiciel de visioconférence.

Le rôle clé de l’organisateur de la visioconférence 

La sécurité du logiciel de visioconférence constitue une première barrière contre les intrusions.
Cependant, pour garantir une protection maximale, il est important que l’organisateur de la réunion soit en mesure de :

  • gérer facilement les participants
  • exclure à tout moment un participant indésirable
  • modérer les droits dans la réunion (partage d’écran, micro…)
  • adapter le niveau de sécurité selon la sensibilité de la réunion

Grâce au contrôle des accès et des droits des participants, l’organisateur limite ainsi les risques de perturbation de la visioconférence.  

Contrôler l’accès aux réunions en ligne 

Avant de laisser entrer les participants dans une réunion, il est important de vérifier qu’ils y sont bien conviés. Lorsqu’un simple lien de connexion à une visioconférence est partagé, certains invités non désirés ont la possibilité de cliquer dessus et d’accéder directement à la réunion.

Avec Tixeo, si une personne clique sur un lien de connexion à une visioconférence, elle doit indiquer son nom et accède alors à une salle d’attente. L’organisateur reçoit en parallèle une notification de cette demande d’accès et peut analyser cette demande. La décision de faire participer cette personne ou non lui revient alors.  

De même, à tout moment de la réunion en ligne, l’organisateur a la possibilité d’exclure un participant s’il estime que celui-ci est suspect.

Gérer les droits des participants 

En attendant que tous les participants à la visioconférence soient réunis, il est préférable que seul l’organisateur dispose du micro ouvert. Cela évite les bruits parasites, liés à l’arrivée de chacun, et prévient le risque qu’un intrus prenne la parole et mobilise l’attention.

L’organisateur peut également demander à chaque participant d’activer leur webcam, pour n’avoir aucun doute sur les interlocuteurs présents, comme le recommande la DGSI.

Choisir un niveau de sécurité adapté 

Le niveau de sécurité de la visioconférence doit être adapté au niveau de sensibilité des échanges. En effet, dans le cas d’une réunion en ligne abordant des informations confidentielles, portant la mention « diffusion restreinte » ou soumises à la protection du secret de la défense nationale, il faut veiller à assurer la protection contre le zoombombing.

Visa de sécurite ANSSI

Tixeo permet à l’organisateur de choisir un niveau de sécurité plus ou moins élevé selon le caractère sensible de sa visioconférence. Ainsi, avec un niveau de sécurité standard, il sera possible de partager un lien de connexion à la réunion et de s’y connecter depuis un navigateur web par exemple. Avec un niveau de sécurité maximal, les participants auront l’obligation de créer un compte utilisateur et de se connecter à la réunion en ligne depuis le logiciel.

La technologie de visioconférence sécurisée Tixeo est la seule solution à être certifié et qualifiée par l’ANSSI.

En savoir plus sur la visioconférence sécurisée

Éviter le partage d’informations sur une réunion en ligne 

Enfin, des informations sur une visioconférence sont parfois diffusées par mégarde. Par exemple, dans des agendas partagés, où l’on accède à la liste des participants, à l’objet de la réunion ou encore au lien de connexion. Mais il arrive également que des photos de salles de réunion avec une visioconférence en cours soient publiées sur les réseaux sociaux, alors même que l’on aperçoit sur l’écran le nom du réseau ou des identifiants de connexion.

Il est impératif de ne pas partager ce type d’informations de façon massive, car elles constituent des données stratégiques et pourraient engendrer des intrusions.

Espionnage : comment reconnaître une visioconférence non sécurisée ?

Autres critères de sécurité pour les réunions en ligne 

Le chiffrement de bout en bout

Pour les visioconférences sensibles, le chiffrement de bout en bout fait partie des critères de sécurité indispensables. Ce système de transmission des données (audio, vidéo et data) garantit une confidentialité totale des communications. En effet, seuls l’émetteur et le(s) destinataire(s) sont en mesure de déchiffrer les données échangées, sans aucune phase de déchiffrement entre eux.

Il est ainsi impossible d’écouter ou d’espionner une visioconférence chiffrée de bout en bout en étant extérieur à la réunion ou de récupérer les données échangées. Par conséquent, cette technologie rend d’autant plus difficile l’intrusion dans une réunion en ligne et le vol d’informations.

Des fonctionnalités avancées de chiffrement de bout en bout, comme la sécurité augmentée de Tixeo, permettent de renseigner un code lors d’une réunion en ligne afin d’accéder à un tunnel de communication secret et inaccessible pour tout autre interlocuteur ne possédant pas le code.

Comment ça marche le chiffrement de bout en bout ?

Sensibiliser les collaborateurs au zoombombing 

Pour limiter les risques de zoombombing, les collaborateurs, sur site ou en télétravail hybride, doivent être sensibilisés et formés à la bonne utilisation de leur outil de visioconférence. Ils pourront ainsi détecter plus facilement des demandes de participation suspectes, gérer les droits des invités et veiller à paramétrer un niveau de sécurité maximal pour les communications.

Tixeo, logiciel de visioconférence Secure by Design, intègre la sécurité aux fondements de sa solution. Sa technologie souveraine de chiffrement de bout en bout multipoint protège les communications confidentielles, quel que soit le nombre de participants à la visioconférence.

Essayez gratuitement la visioconférence Tixeo pendant 30 jours