Le « zoombombing » dans les visioconférences est toujours d’actualité. Ce procédé perturbe des réunions en ligne de plus en plus stratégiques, souvent dans un but malveillant. Pour l’éviter, la sécurité des visioconférences doit être maximale à tous les niveaux.

C’est quoi le « zoombombing » ?

Le « zoombombing » est une intrusion non désirée dans une réunion en ligne. Lors de la crise sanitaire et du confinement, l’utilisation massive et soudaine de la visioconférence a fait exploser ce phénomène. Le « zoombombing » tient d’ailleurs son nom d’un nombre important d’irruptions de personnes malveillantes durant des visioconférences Zoom.

En effet, les intrus peuvent avoir différents objectifs lorsqu’ils rejoignent une visioconférence, allant de la simple perturbation de la réunion à la récupération de données sensibles telles que les noms des participants, objet de la réunion, documents ou écrans partagés…

De graves conséquences pour les organisations

Un intrus dans une visioconférence n’est pas seulement dérangeant pour la conduite de la réunion. Il représente aussi un danger pour la confidentialité des informations échangées.

Dans son dernier flash sur les risques liés aux visioconférences, la DGSI cite l’exemple d’une intrusion dans une visioconférence d’une entreprise, pour diffuser des messages à caractère terroriste. En cause ? Aucun contrôle de l’accès à la réunion en ligne : l’inscription était libre d’accès et le mot de passe de l’application avait un niveau de sécurité très faible. Ce manque de protection a facilité l’intrusion des individus.

De la même manière, récemment, une visioconférence de la Réserve fédérale a été annulée après l’apparition d’images pornographiques, diffusées par un anonyme ayant pris part à la réunion. Une centaine de représentants des grandes banques américaines étaient présents durant cette réunion en ligne. Une perturbation qui engendre des risques de vols de données et ternit la réputation de l’organisation.

Un indispensable : la sécurité du logiciel de visioconférence utilisé

Ces intrusions peuvent être évitées si le logiciel de visioconférence utilisé est « Secure by design ». Ce principe consiste à concevoir un logiciel en abordant les notions de sécurité dès les premières étapes de sa conception, afin de prévenir les risques de failles de sécurité.

Les accès au logiciel ou encore ses fonctionnalités font ainsi l’objet d’analyses strictes dès leur création. De ce fait, dès qu’une vulnérabilité est découverte, elle est immédiatement corrigée avant que le logiciel ne soit déployé.

Comment ça marche le chiffrement de bout en bout ?

Le rôle clé de l’organisateur de la visioconférence

La sécurité du logiciel de visioconférence constitue une première barrière contre les intrusions.

Cependant, pour garantir une protection maximale, il est important que l’organisateur de la réunion soit en mesure de :

• gérer facilement les participants et exclure à tout moment un participant indésirable.
• modérer les droits de parole dans la réunion
• adapter le niveau de sécurité selon la sensibilité de la réunion

Contrôler l’accès aux réunions en ligne 

Lorsqu’un lien de connexion à une visioconférence est partagé, certains invités non désirés ont la possibilité de se connecter et d’accéder directement à la réunion.

Avec Tixeo, si une personne clique sur un lien de connexion à une visioconférence, elle indique son nom et accède alors à une salle d’attente. L’organisateur reçoit en parallèle une notification de cette demande d’accès. Il peut alors décider de faire participer cette personne ou non.

De même, à tout moment de la réunion en ligne, l’organisateur a la possibilité d’exclure un participant s’il estime que celui-ci est suspect.

Gérer les droits des participants

En attendant que tous les participants à la visioconférence soient réunis, il est préférable que seul l’organisateur dispose du micro ouvert. Cela évite les bruits parasites, liés à l’arrivée de chacun, et prévient le risque qu’un intrus prenne la parole et mobilise l’attention.

L’organisateur peut également demander à chaque participant d’activer leur webcam, pour n’avoir aucun doute sur les interlocuteurs présents, comme le recommande la DGSI.

Choisir un niveau de sécurité adapté

Tixeo permet à l’organisateur de choisir un niveau de sécurité plus ou moins élevé selon le caractère sensible de sa visioconférence.

Ainsi, avec un niveau de sécurité standard, il sera possible de partager un lien de connexion à la réunion et de s’y connecter depuis un navigateur web par exemple.

Avec un niveau de sécurité maximal, les participants auront l’obligation de créer un compte utilisateur et de se connecter à la réunion en ligne depuis le logiciel.

Espionnage : comment reconnaître une visioconférence non sécurisée ?

Tixeo, logiciel de visioconférence Secure by Design, intègre la sécurité aux fondements de la conception de sa solution. Sa technologie de chiffrement de bout en bout sécurise les communications, quel que soit le nombre de participants à la visioconférence.

Lorsque vous participez à une visioconférence, certains aspects doivent vous alerter quant à son niveau de sécurité. Voici comment les repérer pour éviter l’espionnage des réunions en ligne.

Dans son flash #91 sur l’ingérence économique, la DGSI (Direction générale de la sécurité intérieure) donne plusieurs exemples de visioconférences suspectes et qui ont des conséquences sur l’intégrité de l’entreprise.

Son objectif est d’inciter les entreprises françaises à redoubler de vigilance lors de leurs réunions en ligne, souvent stratégiques et sensibles. En effet, les risques d’espionnage et d’ingérence économique, via des visioconférences non sécurisées, sont de plus en plus importants. Pour les éviter, les organisations doivent s’assurer que leurs échanges soient bien sécurisés.

Les principales caractéristiques d’une visioconférence non sécurisée :

Un accès non contrôlé à la réunion en ligne

Certaines visioconférences sont accessibles grâce à un lien de connexion partageable. Elles permettent de convier des participants supplémentaires à la dernière minute mais peuvent aussi entraîner l’intrusion de personnes potentiellement malveillantes. En 2020, l’intrusion du journaliste hollandais Danier Verlaan dans une visioconférence confidentielle avait été fortement médiatisée.

Pour faciliter l’accès à une visioconférence sécurisée, il est possible de partager un lien de connexion mais à la seule et unique condition que l’organisateur puisse valider l’entrée des participants. En effet, cela l’oblige à vérifier l’identité de la personne avant de lui permettre d’assister aux échanges. En cas de doute, il sera toujours conseillé de refuser la demande ou de demander plus de précisions quant à son besoin d’assister à la réunion. Sans cette validation, n’importe qui peut se connecter et accéder aux informations de la visioconférence (communications, fichiers…) ou diffuser des messages malveillants.

Des flux de communications non chiffrés

Les échanges audio, vidéo ou data peuvent être espionnés s’ils ne sont pas strictement protégés par un chiffrement de bout en bout. Ce système de transmission de données autorise uniquement l’émetteur et le(s) destinataire(s) à déchiffrer ces données sans aucune phase de déchiffrement entre eux.

Certains logiciels de visioconférences extra-européens revendiquent ce type de chiffrement mais sont pourtant soumis à des réglementations étrangères, comme le Cloud Act. Celui-ci oblige les éditeurs à mettre à disposition des back doors (portes dérobées) dans leur logiciel afin de permettre l’écoute des communications sous certaines conditions par les autorités. Cependant, ces back doors représentent une faille de sécurité et peuvent être découvertes par des hackers qui s’en serviront pour espionner les communications.

La DGSI recommande l’utilisation de solutions de visioconférence chiffrées de bout en bout pour éviter les risques d’espionnage des réunions en ligne. La technologie de chiffrement de bout en bout de Tixeo, certifiée et qualifiée par l’ANSSI, empêche toute écoute des flux de communications, quel que soit le nombre de participants à la réunion en ligne. De plus, en tant que solution européenne et souveraine, le chiffrement de bout en bout de Tixeo est soumis au respect du RGPD.

Des comportements suspects de la part des participants

Enfin, la menace lors d’une visioconférence peut parfois être interne à l’entreprise. Il faut alors être attentif à certains signaux suspects émanant des participants. Dans son flash, la DGSI aborde l’exemple frappant d’une salariée en 100% télétravail, qui ne se montre jamais à la webcam et enregistre les visioconférences auxquelles elle participe. La captation d’informations stratégiques représente un danger d’espionnage industriel pour une entreprise. En cas de doute, il est important d’éviter de parler de sujets sensibles si la confidentialité n’est plus assurée.

Les entreprises doivent protéger leurs visioconférences de l’espionnage

Choisir un outil de visioconférence sécurisé

Les entreprises françaises sont régulièrement victimes d’ingérence économique suite à des manquements de sécurité lors de réunions en ligne et cela nuit à leur souveraineté économique.  La sécurité de leur outil de visioconférence doit donc être au cœur de leurs préoccupations. Avec le travail à distance, les réunions sensibles se font désormais en ligne et exposent les données stratégiques de l’entreprise.

Tixeo est la seule solution de visioconférence française à être certifiée et qualifiée par l’ANSSI grâce à son chiffrement de bout en bout. Le logiciel est Secure by Design : la sécurité fait partie intégrante de son processus de conception.

Sensibiliser les collaborateurs

Tixeo accompagne ses clients et ses utilisateurs dans la protection de leurs communications et de leurs données personnelles. Une sécurité qui passe également par une sensibilisation des équipes, notamment en télétravail.

Il est primordial que les salariés puissent comprendre les risques liés aux visioconférences non sécurisées et en maîtriser les bonnes pratiques. Pour chaque réunion en ligne, organisateurs et participants doivent être capables de jauger le niveau de sécurité adéquat et ainsi d’adapter leur vigilance en conséquence (vérification des invités, webcam activée pour tous, haut niveau d’intensité des mots de passe…).

En fonction de la sensibilité de la réunion, Tixeo permet d’activer un niveau de sécurité standard ou maximal. Ainsi, pour une réunion confidentielle, l’organisateur pourra fixer des conditions pour accéder à la visioconférence (installation du logiciel-client et création d’un compte utilisateur). Chaque participant devra s’identifier avant d’accéder à la visioconférence.

Communiquer au sein et en dehors de l’entreprise n’a jamais été aussi facile. Pourtant, la sécurité des logiciels de visioconférence est encore rarement prise en compte et expose souvent les données personnelles des utilisateurs.

L’urgence de la protection des données

Le baromètre RGPD 2022 de Data legal drive indique que 74 % des professionnels de la data et de la privacy interrogés estiment que les salariés sont de plus en plus attentifs à la protection des données personnelles par l’entreprise.

Rien d’étonnant lorsqu’on sait qu’en 2021, une entreprise française sur deux a été victime d’une cyberattaque (étude CESIN). Des attaques informatiques qui donnent généralement lieu à des vols de données qui exposent les salariés et mettent à mal la stabilité financière des organisations.

Dans les entreprises, les outils de visioconférence traitent et font transiter une multitude de données sensibles et confidentielles et deviennent des cibles privilégiées pour les hackers.

L’absence de backdoor dans le logiciel

Certains grands logiciels de visioconférence, localisés en dehors de l’Union Européenne, répondent à des législations étrangères. Celles-ci autorisent notamment l’écoute des communications. C’est le cas du Cloud act, série de lois extraterritoriales américaines, qui permet aux autorités de contraindre les éditeurs, situés sur le territoire américain, à fournir les données relatives aux communications électroniques. Celles-ci peuvent être stockées sur des serveurs américains ou étrangers.

Visioconférence : le choix d’une solution européenne est-il indispensable ?

Tixeo engagé pour la protection des données personnelles

En tant que solution européenne et sécurisée, Tixeo est 100% conforme au RGPD et place la protection des données personnelles au cœur de ses engagements. En effet, ses clients, évoluant dans des secteurs sensibles (défense, santé, industrie…) exigent un outil de visioconférence fiable, doté d’un niveau de sécurité maximal et présentant toutes les garanties pour respecter l’intégrité des données personnelles de leurs salariés.

Dans le guide RGPD Tixeo, sélectionnez votre profil utilisateur pour retrouver toutes les informations essentielles à connaître sur :

• le traitement
• l’utilisation
• l’hébergement
• la conservation
• la protection

de vos données personnelles.

Les caractéristiques d’une visioconférence sécurisée

Un logiciel de visioconférence sécurisé offre des garanties supplémentaires pour la protection des données personnelles. C’est le cas de Tixeo.

Le Secure by Design : une architecture conçue pour la sécurité des données

Pour être sécurisé, un logiciel de visioconférence sécurisé doit être Secure by Design. En clair, il doit prendre en compte la sécurité dès les premières étapes de sa conception et jusqu’à son déploiement. Ce procédé permet de déterminer suffisamment en amont les potentiels points de défaillance du logiciel et d’élaborer des solutions pour les corriger lors de son développement.

Ainsi, un logiciel de visioconférence Secure by Design présentera une sécurité beaucoup plus robuste qu’un logiciel de visioconférence traditionnel.

Un déploiement qui minimise les impacts de sécurité 

Le déploiement d’un outil de visioconférence ne doit pas perturber la sécurité du réseau interne de l’entreprise. Avec Tixeo, logiciel de visioconférence sécurisé et Secure by design, il n’y a qu’un seul port à ouvrir pour déployer la solution. Ainsi, la politique de sécurité du réseau de l’entreprise est préservée. À la clé : un gain de sécurité et de temps !

La visioconférence sécurisée Tixeo inclut le chiffrement de bout en bout, en passant par un serveur (End-to-End encryption AES 256), tout en s’adaptant facilement aux variations des réseaux.

[Comment ça marche ?] Le chiffrement de bout en bout

Prendre en compte la localisation de l’éditeur  

À noter que le critère de localisation de l’éditeur de la visioconférence est important à prendre en compte, dans le cas où le logiciel revendique un chiffrement de bout en bout. En effet, dans certains pays, il est parfois impossible de chiffrer totalement les communications.

Par exemple, depuis 2001 aux Etats-Unis, la loi Patriot Act impose aux éditeurs d’outils informatiques d’ajouter des backdoors dans leur système. Cette back door est une entrée secrète qui permet aux autorités d’accéder aux données du logiciel. Si une entité malveillante la découvre, les données personnelles peuvent être compromises.

Visioconférence : savez-vous (vraiment) comment sont traitées vos données personnelles ?

L’explosion du télétravail et du travail hybride ont généralisé l’utilisation de solutions de visioconférences dans les organisations. Des outils qui impliquent le traitement d’une multitude de données personnelles des collaborateurs de votre entreprise.

Protégez vos salariés et votre activité

Déployer une solution de visioconférence au sein de votre organisation implique le traitement des données personnelles de l’ensemble de vos collaborateurs. Celles-ci sont de différentes natures et comportent des informations sur vos salariés mais aussi sur votre activité.

Ainsi, en fonction de la demande, les noms, prénoms, ou encore identifiants et mots de passe des utilisateurs sont des données personnelles qui peuvent être récoltées, tout comme les intitulés de réunions, leurs dates ou la liste des participants.

Dans la plupart des organisations, et notamment celle dans des secteurs sensibles, ces données doivent rester strictement confidentielles. Il est donc impératif de disposer d’une vue claire sur la façon dont sont traitées les données personnelles.

5 questions indispensables à se poser

1/ Par qui sont traitées mes données ?

Le responsable du traitement détermine les finalités et les moyens d’un traitement de données personnelles. Le sous-traitant des données personnelles traite des données personnelles pour le compte du responsable de traitement.

Selon l’utilisation de ses services, TIXEO est responsable du traitement des données personnelles ou sous-traitant pour le compte de ses clients Cloud.

2/ Pourquoi sont-elles utilisées ?

Il s’agit des finalités fixées par le responsable du traitement et qui justifient l’utilisation des données personnelles.

Par exemple, Tixeo traite des données personnelles lors d’une réunion en visioconférence pour générer un historique de réunions, nécessaire à son client et pour permettre de retrouver les participants ayant participé à une réunion.

3/ Où sont-elles hébergées ?

Une question essentielle puisque l’hébergement des données personnelles est un facteur clé pour déterminer leur niveau de protection.

En effet, au sein de l’Union Européenne, le RGPD exclut toute possibilité d’héberger des données personnelles à l’étranger ou de transférer des données dans un pays tiers, sans accord contractuel prévu au préalable.

En dehors de l’Union Européenne, les réglementations sont beaucoup plus souples. Aux Etats-Unis, le Cloud act, série de lois extraterritoriales, permet aux autorités de contraindre les éditeurs, situés sur le territoire américain, à fournir les données relatives aux communications électroniques, qu’elles soient stockées sur des serveurs américains ou étrangers.

Tixeo héberge l’ensemble de ses données en France, auprès d’OVH, entreprise française et leader européen du cloud.

4/ Quelle est leur durée de conservation ?

Les données traitées peuvent être conservées durant une durée limitée. Celle-ci doit être clairement spécifiée.

5/ Quelles sont les mesures de protection des données personnelles mises en œuvre ?

La conformité au RGPD d’une solution de visioconférence est un premier gage de sécurité.

Tixeo va plus loin en prenant un certain nombre de précautions pour maximiser la sécurité des données. Parmi elles, le chiffrement des disques durs des postes de travail du personnel traitant des données personnelles ou encore la vérification de la conformité des sous-traitants avec l’article 28 du RGPD.

En effet, la sécurité fait partie de l’ADN de Tixeo : sa solution de visioconférence européenne est la plus sécurisée du marché et est certifiée et qualifiée par l’ANSSI.

Découvrez comment Tixeo traite vos données personnelles

Dans son guide RGPD, Tixeo explique en toute transparence sa politique en matière de protection des données personnelles.

En un clic, sélectionnez votre profil utilisateur et découvrez toutes les informations concernant le traitement de vos données personnelles par Tixeo, solution de visioconférence 100% conforme au RGPD.