Propulsée sur le devant de la scène à cause du confinement et de la nécessité de mettre en place du télétravail un peu partout pour permettre la poursuite de certaines activités, l’application de visioconférence Zoom a connu un mois très difficile : envahissement de réunions virtuelles par des inconnus, découverte de failles de sécurité sérieuses, documentation insuffisante…
Ces déboires ont entaché la réputation du programme. Mais si les faux pas se sont accumulés ces dernières semaines, et les insuffisances criantes en matière de sécurité, tout n’est pas à mettre sur son dos. La preuve : s’il a été découvert mi-avril la vente de près de 530 000 comptes Zoom, les investigations montrent pour le moment qu’il ne s’agit pas d’un piratage du service… mais de « credential stuffing ».
En clair, il s’agit de pirater des comptes en utilisant des combinaisons d’identifiants et de mots de passe qui ont été dérobées précédemment (par du hameçonnage via mail, par du piratage de sites sur lesquels les victimes étaient déjà inscrites, par de l’ingénierie sociale, etc.). Ce « credential stuffing » peut d’ailleurs être mis en œuvre par d’autres individus que ceux qui ont récupéré au départ les codes d’accès.
Le « credential stuffing » marche d’une part parce que l’authentification à deux facteurs n’est pas disponible partout, alors qu’il s’agit d’une défense très efficace même en cas de compromission du mot de passe, mais aussi parce que les internautes ont la fâcheuse tendance… à utiliser le même mot de passe partout. Donc si on le récupère à un endroit, par piratage, on peut l’essayer ailleurs.
La découverte de ces 530 000 comptes est à mettre au crédit de Cyble, une entreprise spécialisée dans la cybersécurité. Ses équipes qui suggèrent qu’il s’agit d’un « credential stuffing » et non pas d’un piratage d’une base de données de Zoom — le service n’ayant pas fait état d’ailleurs d’un tel accès frauduleux. Les données incluent l’adresse mail, le mot de passe, l’URL de la salle de réunion personnelle et la clé d’hébergement.
Avant qu’ils ne se retrouvent en ligne, les pirates ont vraisemblablement automatisé les tests destinés à vérifier quelles sont les combinaisons qui marchent sur Zoom. D’après les constatations de Cyble, des adresses sont cédées gratuitement (peut-être pour prouver la qualité du produit vendu) tandis que les autres sont vendues à 0,002 dollar par compte – en tout, cela s’achète pour un millier de dollars.
La sécurité informatique est aussi du ressort des internautes
Face à cette menace, Zoom propose pourtant une solution efficace : l’authentification à deux facteurs. Même si le mot de passe et l’identifiant sont dans la nature, la connexion frauduleuse pourra être bloquée grâce à cette deuxième barrière de sécurité. Le souci, c’est qu’elle est optionnelle. Zoom ne l’impose pas et ne la met pas particulièrement en avant. Dès lors, beaucoup risquent d’en ignorer l’existence.
Mais si Zoom devrait davantage promouvoir et imposer ses options de sécurité les plus avancées (d’autant que l’application part de loin et a beaucoup à faire pour se rattraper) le fait est que la sécurité informatique est une chaîne composée de plusieurs maillons et que l’internaute en fait partie. Et l’on sait que la solidité d’une chaîne est égale à son maillon le plus faible, là où la rupture se fera.
Il est impératif que les internautes s’obligent à utiliser un mot de passe différent par service qu’ils utilisent, afin justement d’éviter cet effet boule de neige où un seul piratage menace en cascade d’autres comptes. Il ne s’agit pas d’en changer régulièrement, mais d’en utiliser un convenable et unique à chaque fois et de ne le renouveler que si un incident survient. Et pour les mémoriser, un gestionnaire de mots de passe peut servir.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !