La Sécurité des Visioconférences, un monde idéal !

Bienvenue dans le Monde merveilleux de la Visioconférence et ses failles de sécurité ! Vous pensez que l'enjeu de sécurité de vos webconférences se résume aux écoutes pirates ? Non, le problème est plus vaste et reste assez confidentiel, en une phrase : les visioconférences peuvent exposer gravement la sécurité de vos postes et réseaux !

Qui m’écoute ?

Pour comprendre où se trouvent les failles principales de sécurité des visioconférences et webinars, il faut appréhender le fonctionnement de la technologie « WebRTC » (Web Real Time Communication) (1)

WebRTC est un nouveau standard Web soutenu par W3C (2) et IETF (3) à l’initiative de Google notamment. Il permet de commuter des ordinateurs entre eux au moyen de la technologie Peer to Peer.

Les communications audio-vidéo entre terminaux sont cryptés : SDP (4) et DTLS (5) sécurisent les données tandis que SRTP (6) sécurise les échanges, selon les pratiques recommandées.

Mais si les communications ne sont parfois pas sécurisées (pas de SRTP) il est alors possible d’écouter les flux audio-vidéo depuis un poste non invité. De plus de nombreuses solutions ne sécurisent pas l’identité du participant qui peut alors être usurpée par un hacker. (6)

Parce que tous les systèmes de visioconférence n’utilisent pas les mêmes méthodes de sécurisation, une « écoute » (de données ou autres informations) peut parfois être possible.

On se souvient, en Novembre 2020, d’une conférence confidentielle de la Commission Européenne, à laquelle un journaliste avait accédé sur Zoom. (7)

Mais retenons qu’un véritable pirate ne vous contactera pas pour vous signaler son méfait, et qu’il existe plusieurs méthodes, plusieurs failles de sécurité, dont certaines connues, et d’autres à venir…

Quels enjeux ?

Parmi les failles de sécurité, l’une des plus troublantes est que la technologie WebRTC fait nécessairement l’inventaire de votre réseau pour accéder aux terminaux, derrière votre firewall.

Enorme ? Non, c’est la procédure standard, car l’inventaire des terminaux est nécessaire pour associer les terminaux dans un ou plusieurs réseaux sécurisés.

Concrètement, pour connecter trois postes en Peer to Peer lors d’une visioconférence, le système WebRTC (Teams, Zoom, Jitsi, etc) inventorie les informations des terminaux.

Pour contourner les firewalls, le système WebRTC peut attribuer une adresse unique aux terminaux situés dans un réseau sécurisé. Ces procédures sont complexes et peu communiquées par les éditeurs.

Ces données permettent d’accéder aux postes dans un réseau sécurisé, elles transitent via un serveur dont vous ne connaissez pas forcément l’emplacement, la sécurité et la législation qui s’y applique…

Bien que le cas soit assez fréquent, les éditeurs de visioconférence informent rarement leurs usagers que la technologie utilisée est opérée par des sous-traitants étrangers, hors Europe.

Le plus souvent, ces informations sont hors de votre contrôle : vous ne disposez pas de l’inventaire des services de communication WebRTC (Turn, Stun, ICE pour « Établissement de Connectivité Interactive ») qui permettent aux terminaux de se connecter. (8)

Cette opacité est un point faible pour la sécurité des solutions WebRTC. Par facilité, la plupart des éditeurs disent être conformes au RGDP. Mais c’est insuffisant : ne pas disposer de cette information est frustrant, surtout lorsque le système affirme être conforme RGDP et « sécurisé ».

Quels risques réels ?

Vous doutez des informations de cet article ? Vous avez bien raison, il convient de disposer de preuves pour avérer cette affirmation : « des données peuvent être piratées ! »

D’abord précisons qu’en dehors d’un réseau intranet, un internaute qui participe à une visioconférence depuis son domicile, même équipé d’un VPN, peut exposer son IP publique, et faire l’objet d’attaques. Cela provient du fonctionnement standard du navigateur en présence de script malicieux. (9)

Mais revenons à ICE (Établissement de Connectivité Interactive) qui permet de reconnaître les postes connectés à une visioconférence WebRTC. Pour fonctionner ICE exploite la technologie Turn pour traverser les réseaux sécurisés afin de commuter les ordinateurs participant à une visioconférence.

C’est ce que les ingénieurs réseaux nomment une « résolution NAT », qui permet d’accéder aux postes « clients sur des réseaux masqués » c’est à dire un réseau intranet (10)

Et le bât blesse depuis de nombreuses années. Déjà en 2014 les ingénieurs d’Ericsson étudiaient les défauts de sécurité du procédé Turn : « un attaquant qui est capable d'écouter un échange de messages entre un client et le serveur peut déterminer le mot de passe … » (11) Faille impactant les VPN selon Zataz magazine spécialisé en Cyber sécurité. (12)

En Décembre 2018, lors d’une conférence sur la sécurité des réseaux, des chercheurs observaient les méthodes pour un « Abus des navigateurs Web pour le stockage et la distribution de contenu caché » (13)

En Avril 2020 un article lors du Forum « Future of Internet » relevait également « Le problème de l'utilisation de WebRTC afin de cartographier la topologie intranet à partir d'un attaquant externe » et proposait « des recommandations pour la protection de l'utilisateur final » (14)

En Juin 2020, un forum de sécurité faisait part de l’abus du service Turn de la société américaine 8x8 qui édite Jitsi en précisant que cet exploit « permet aux attaquants distants … d'atteindre les services internes sur le serveur lui-même ainsi que sur le réseau interne AWS ». (15)

En Septembre 2021, selon RTSEC, expert en sécurité, les serveurs Turn de la société Slack, qui compte 12 millions d’utilisateurs actifs quotidiens (16) ont pu être abusés pour accéder aux « services internes ». (17)

Bien que des méthodes existent pour sécuriser le serveur Turn et les terminaux, les éditeurs ne sont guère bavards sur ce point. La sécurité de WebRTC n’est donc pas une légende, c’est un sujet brûlant.

Quelle solution ?

Résumons. Ces problématiques de sécurité des visioconférences WebRTC peuvent exposer la sécurité des réseaux, des terminaux… C’est pourquoi, sans conteste, une solution de visioconférence doit à minima donner des garanties fortes de sécurité.

Cela ne se discute pas, car indépendamment du niveau de confidentialité des communications, il se trouve que la technologie de visioconférence WebRTC peut exposer la sécurité informatique.

Au-delà des procédures employées pour sécuriser les flux audio-vidéo et leur transport (SDP, DTLS, SRTP), les composants de communication (ICE, Stun, Turn), un terme résume tout pour garantir un haut niveau de sécurité : « Architecture sécurisée de bout en bout ».

La sécurisation de bout en bout, aussi nommée « e2ee » pour « End to End Encryption » a pour objectif de crypter tous les points d’échanges de l’architecture WebRTC : terminaux et serveurs afin de protéger vos ressources et vos communications. (18)

La question centrale est donc « cette application de visioconférence est-elle cryptée de bout en bout ? ». Le cryptage de bout en bout est un indicateur incontournable pour votre sécurité.

En Avril 2021, un guide de la fondation « Front Line Defenders » fait le point et révèle que de nombreux systèmes de visioconférence ne sont pas encore cryptés de bout en bout. (19)

Ce guide précise que « Jitsi Meet est en train de travailler pour proposer le chiffrement de bout en bout », et qu’avec Teams « une personne … peut potentiellement intercepter vos messages ».

Ce guide reste prudent sur d’autres solutions : « Nous n'avons pas inclus les outils tels que Zoom, Skype, Telegram, WhatsApp … nous pensons que la marge de risque lors de leur utilisation est trop grande ».

Le cryptage de bout en bout est un critère incontestable. En France, des solutions telles Rainbow d’Alcatel Lucent (20), Tixeo (21) et Webinar Please d’Empreinte.com (22) sont cryptées de bout en bout, ouvrant la voie à des systèmes de visioconférence sécurisés et conformes RGDP.

Empreinte.com précise ne pas installer de logiciel sur les terminaux afin de simplifier la vie des internautes, complétant la citation de Tim Berners Lee « Le but ultime du Web est de soutenir et d'améliorer notre existence » pas de la compliquer avec des installations inutiles.

Que vous soyez DSI ou internaute vous connaissez désormais la règle du jeu : une solution cryptée de bout en bout, ou une certaine incertitude... C’est à vous de voir !

-----

(1) https://www.journaldugeek.com/2011/06/15/google-webrtc-chat-video-audio-navigateur/

(2) https://www.w3.org/TR/webrtc/

(3) https://tools.ietf.org/id/rtcweb

(4) http://tools.ietf.org/id/draft-nandakumar-rtcweb-sdp-01.html

(5) https://fr.wikipedia.org/wiki/Datagram_Transport_Layer_Security

(6) https://upcommons.upc.edu/bitstream/handle/2117/98113/TJCF1de1.pdf

(7) https://www.francetvinfo.fr/monde/europe/un-journaliste-hackeur-s-introduit-dans-une-videoconference-confidentielle-de-l-ue_4190113.html

(8) https://w3c.github.io/webrtc-ice/

(9) https://www.monpetitforfait.com/vpn/aides/fuite-webrtc

(10) https://en.wikipedia.org/wiki/Traversal_Using_Relays_around_NAT

(11) https://www.rfc-editor.org/rfc/rfc7376.html#page-4