Espionnage : reconnaître une visioconférence non sécurisée
Les informations échangées lors des visioconférences peuvent être hautement stratégiques. Pour leur sécurité, les entreprises devraient être plus vigilantes face à la possible divulgation d’éléments confidentiels lors de visioconférences. Quels sont les différents critères permettant de reconnaître une visioconférence non sécurisée ? Éléments de réponse.
Lors de son dernier flash sur l’ingérence économique en février 2023, la DGSI (Direction générale de la sécurité intérieure) a mis en exergue les conséquences d’une visioconférence non sécurisée en énumérant plusieurs exemples concrets. Son objectif est d’inciter les entreprises à être plus vigilantes face à ce danger, faute de quoi leur intégrité pourrait être mise en danger.
Pour des raisons évidentes de sécurité, des acteurs de la défense, de l’armement, ou de l’industrie ont un besoin crucial de confidentialité de leurs échanges. Les entreprises rencontrent les mêmes problématiques lors de leurs comités de direction, de réunions techniques, R&D ou commerciales et l’espionnage industriel fait partie des principales menaces pour elles.
Voici différents critères permettant de reconnaître une visioconférence non sécurisée.
Un accès non contrôlé à la réunion en ligne
Certaines visioconférences sont accessibles grâce à un lien de connexion partageable et permettent de convier des participants supplémentaires à la dernière minute. Néanmoins, il existe un risque d’intrusion de personnes potentiellement malveillantes. Ce fut le cas en 2020 avec le journaliste hollandais Daniël Verlaan qui s’est introduit dans une visioconférence confidentielle de l’Union européenne.
En cas d’absence de contrôle des participants, n’importe qui peut se connecter et accéder aux informations de la réunion.
Des flux de communications non chiffrés
Il existe un risque d’espionnage des échanges audio, vidéo ou data sans la protection d’un chiffrement de bout en bout. Ce système de transmission de données autorise uniquement l’émetteur et le(s) destinataire(s) à déchiffrer ces données sans aucune phase de déchiffrement entre eux.
Certains logiciels de visioconférences extra-européens revendiquent ce type de chiffrement mais sont pourtant soumis à des réglementations étrangères, comme le Cloud Act. Celui-ci oblige les éditeurs à mettre à disposition des back doors (portes dérobées) dans leur logiciel afin de permettre l’écoute des communications sous certaines conditions par les autorités. Cependant, ce dispositif représente une faille de sécurité que les hackeurs peuvent découvrir afin d’espionner les communications.
Des comportements suspects de la part des participants
Lors d’une visioconférence, la menace peut éventuellement être interne, ce qui invite à être attentif à certains signaux suspects émanant des participants.
Dans son flash, la DGSI aborde l’exemple frappant d’une salariée en 100 % télétravail, qui ne se montre jamais à la webcam et enregistre les visioconférences auxquelles elle participe. La captation d’informations stratégiques représente un danger d’espionnage industriel pour une entreprise.
Sensibiliser les salariés
La sécurité de l’entreprise passe par une sensibilisation des équipes, notamment en télétravail. Il est primordial que les salariés puissent comprendre les risques liés aux visioconférences non sécurisées et en maîtriser les bonnes pratiques.
Pour chaque réunion en ligne, organisateurs et participants doivent être capables de jauger le niveau de sécurité adéquat et ainsi d’adapter leur vigilance en conséquence :
- vérification des invités;
- webcam activée pour tous;
- haut niveau de complexité des mots de passe….
Enfin, il est essentiel de surveiller le niveau d’information divulgué aux différentes parties prenantes et d’éviter de discuter de sujets sensibles si la confidentialité n’est plus garantie.
Renaud Ghia
Président de Tixéo, entreprise française spécialiste de la vidéo-collaboration sécurisée
Les plus lus…
Le 11 mars 2024, un incendie a touché le site de la raffinerie Esso de Port-Jérôme-Gravenchon. Trois jours plus…
En phase d’expérimentation jusqu’au 31 mars prochain, la vidéosurveillance algorithmique était au cœur de nombreuses tables-rondes sur le dernier…
Dekra, organisme mondial exerçant dans les domaines de l’inspection, de la certification et de l’audit et conseil en matière…
Un enregistrement réalisé par un salarié à l’insu de son employeur est soumis à la Cour de cassation dans…
Les violentes inondations qui ont frappé l’Espagne en octobre et novembre 2024 ont fait au moins 230 morts, selon…
Le 9 juillet 2024, les sapeurs-pompiers d’Alès (Gard) sont engagés sur un violent feu d’usine d’huiles alimentaires. Les écoulements…