La vidéoconférence a joué un rôle clé dans la croissance du travail à distance. Qu'il s'agisse d'un travail solitaire à domicile ou d'une entreprise avec des équipes à travers le monde, VC permet une véritable communication en face à face. Mais cela apporte-t-il un nouveau risque pour l’entreprise ?
Nous tenons les installations VC pour acquises, nous nous efforçons d'obtenir un meilleur son, des graphiques plus rapides et de meilleurs outils de travail en équipe, mais accordons-nous suffisamment d'attention à la sécurité? Des plates-formes telles que FaceTime, WhatsApp et Skype utilisent des technologies courantes telles que WebRTC, et si un pirate pouvait trouver et exploiter une vulnérabilité?
Nous examinons ici brièvement les recherches effectuées récemment sur les vulnérabilités et comment un pirate pourrait les exploiter. Enfin, nous examinons les meilleures façons de protéger nos appels VC.
Quel est le risque?
Pour les appels VC professionnels, il existe un risque potentiel important d'exposer des informations sensibles. Il peut s'agir de cadres discutant d'informations financières ou de technologues partageant des informations IP. Les informations sensibles sont comme un aimant pour les pirates. En dehors des affaires, les données piratées provenant d'individus, telles que leurs comptes Facebook ou WhatsApp, ont de la valeur.
Comment pourrait-on le faire?
Natalie Silvanovich de l'équipe Project Zero de Google a récemment découvert des vulnérabilités qui pourraient être exploitées par un pirate (elles ont depuis été corrigées). La communication en temps réel sur le Web (WebRTC) est une technologie open source largement utilisée qui permet la communication en temps réel. Silvanovich a trouvé plusieurs vulnérabilités dans WebRTC, suffisamment graves pour provoquer un crash avec des erreurs hors limites ou de débordement.
Les pirates lancent souvent des débordements de tas de mémoire comme outil d'effraction. En initiant un débordement sur l'appareil cible, un pirate pourrait prendre le contrôle de son compte et intercepter le VC. Il existe deux méthodes possibles:
- Le pirate lance un appel VC à l'aide d'un périphérique non autorisé, établit une communication poste à poste et déclenche la vulnérabilité sur le périphérique cible
- En utilisant une technique de phishing, la cible est persuadée de lancer un VC, mais en utilisant un serveur de signalisation qui est sous le contrôle du pirate. Le pirate est alors en mesure d'établir plus facilement une communication d'égal à égal avec son périphérique escroc.
Cela affectera-t-il les tarifs de terminaison de gros de la VoIP?
Nous avons constaté une augmentation de la fraude dans les télécommunications affectant les revenus des opérateurs. Des attaques telles que la fraude vocale, la fraude par SMS et la fraude IPX ciblent à la fois les opérateurs et les entreprises qui les utilisent. L'exemple de méthodes de piratage que nous décrivons affecterait les entreprises et les consommateurs, bien que nous ne devrions pas exclure une escalade vers le ciblage des opérateurs.
Comment pouvons-nous nous protéger?
Silvanovich a soumis les vulnérabilités sous forme de bogues, qui ont ensuite été corrigés. Il n'y a donc pas de cause d'alerte immédiate dans le contexte de ces cas spécifiques. Cependant, la vigilance, comme toujours, est essentielle pour éviter de mettre en danger les opérations commerciales. Voici trois suggestions pour réduire les risques:
- Mettez à niveau l'outil VC vers le dernier correctif de sécurité dès qu'il est disponible. Les développeurs corrigent constamment les vulnérabilités et les publient, il est donc essentiel de se tenir à jour
- Former le personnel à ne pas répondre aux appels VC à partir de numéros inconnus. Un appel entrant est le point d'entrée naturel pour un pirate
- Utilisez un pare-feu pour protéger la communication VC
Si vous recherchez une solution de visioconférence sûre et sécurisée, essayez Huddle by Net2Phone. Huddle permet des communications virtuelles sécurisées en face à face avec des personnes du monde entier.
