En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Souriez, votre salle de vidéoconférence est filmée !

Selon un chercheur américain, les systèmes de vidéoconférence ne sont pas suffisamment protégés. En s’y connectant, des hackers peuvent écouter et voir ce qui se passe aux alentours.

laisser un avis
Imaginez : vous êtes dans la fameuse salle de videoconférence de votre entreprise, en train de discuter d’une nouvelle stratégie commerciale – hautement confidentielle –  avec vos collègues de l’autre bout du monde. Et si des hackers étaient en train de vous filmer et de vous enregistrer, en utilisant justement votre matériel de videoconférence ?
Ce n’est pas si improbable, comme vient de le montrer le chercheur en sécurité HD Moore,
de la société Rapid7. Pendant trois mois, il s’est baladé sur le net,  a scanné des adresses IP
et – surprise – il est parvenu à se connecter sur des milliers de systèmes de vidéoconférence dans des entreprises, à écouter et à voir ce qui s’y passe, et même à prendre la main sur la caméra : zoomer, cadrer, effectuer des mouvements panoramiques.
Des démonstrations vidéo sont disponibles en ligne  sur le site de de Rapid7.

Du pain bénit pour l’espionnage industriel

Pratique, cette fonction zoom...
agrandir la photo
Cette découverte est d’autant plus effrayante que les salles de vidéoconférence sont généralement des lieux ultrastratégiques : c’est là que se tiennent les réunions des comités exécutifs, que sont discutées les dernières innovations technologiques, que se négocient des contrats sensibles, etc. Une véritable mine d’or pour les adeptes  de l’espionnage industriel. L’article du chercheur a provoqué l’indignation du secteur de la vidéoconférence. Un analyste, David Maldow, a refuté les affirmations de HD Moore. Mais ce dernier a répondu aussitôt, point par point.  
Techniquement, comment est-ce possible ? L’explication est somme toute assez simple : c’est de la négligence. HD Moore a ciblé exclusivement les systèmes basés sur H.323, un protocole de communication largement utilisé dans le monde de la vidéoconférence. Et s’il a réussi à se connecter, c’est parce que, dans un souci de facilité d’usage, ils étaient mal protégés. « C’est un des problèmes du protocole H.323 : il est difficile à utiliser dans le cadre d’une translation d’adresses réseaux (NAT)(…) Beaucoup d’entreprises se simplifient la vie en installant leurs systèmes en dehors du pare-feu, ou en adoptant une configuration Full Cone NAT [qui est peu sécurisée car elle fait correspondre automatiquement un couple adresse IP-port externe à un couple adresse IP-port interne, NDLR] », explique le chercheur.

Connexion automatique

HD Moore épingle par ailleurs l’usage abusif du mode « connexion automatique ». Pour les utilisateurs, ce mode est assez pratique car il permet aux autres interlocuteurs de joindre aisément une réunion sans qu’une confirmation manuelle ne soit nécessaire.  Mais, revers de la médaille, un hacker peut également s’introduire sans que cela se remarque. « Le principal fournisseur du marché, Polycom, continue à livrer la plupart de ses équipements configurés par défaut en mode réponse automatique », souligne le chercheur. Sans doute plus pour longtemps.
envoyer
par mail
imprimer
l'article
@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Des bulles de vidéoconférence dans votre navigateur avec Glowbl
BT Services lance un défi pour recruter ses experts en cybersécurité
Symantec révèle l’existence d’un groupe de hackers mercenaires… chinois ?
Les Etats-Unis s'inquiètent pour la vulnérabilité de leur système financier
55 % des Britanniques ne changent jamais de mot de passe
Un hacker crée un botnet pour faire un « recensement de l’Internet »
Evernote : les données de 50 millions d'utilisateurs ont été hackées.
La Chine hausse le ton face aux accusations de piratage américaines
Google Chrome OS : 3,14159 millions de dollars pour ceux qui trouvent des failles
Cyberdéfense, le Pentagone va quintupler ses effectifs
Dix ans de prison pour avoir piraté le mail de Scarlett Johansson
Google demande des preuves d'une faille zero day dans Chrome
Six mois ferme pour le hacker qui a piraté 17 000 smartphones [MAJ]
Grande promo sur les outils de piratage en Russie
Zynga : les Anonymous jouent au ministre du Redressement productif
Cisco a peur de Skype, à juste titre
Résultats records pour Cisco
Les nouveautés de Microsoft Lync en images
Quel type de visioconférence choisir et selon quel budget