Sécuriser les visioconférences d’une organisation

Avec le développement du télétravail ou le besoin de s’organiser collectivement à distance, une grande partie de nos communications transite par des plateformes de visioconférence. Si certaines sont critiquées pour l’usage qu’elles font de nos données personnelles, on peut aussi légitimement s’interroger sur les pratiques de surveillance par les autorités publiques. Heureusement, les solutions sont là : une fois n’est pas coutume, les techniques de vidéo et audioconférences se sont grandement simplifiées. Pour quelques euros par mois et un minimum d’expertise technique, garantir la confidentialité des téléconférences est désormais à la portée de toutes les organisations, même les plus modestes. Nous vous expliquons ici pourquoi se soucier des services de visioconférence que nous utilisons au sein d’une organisation, puis, pour ceux et celles qui souhaitent creuser le sujet, les critères de choix à privilégier.

 

Quels sont les risques derrière les services de visioconférence ?

Une enquête publiée le 27 avril 2020 sur les opposants au projet d’enfouissement des déchets nucléaires de Bure rappelle avec force détails l’excès de zèle dont peut faire preuve l’information judiciaire en matière de surveillance des militants politiques. Ces abus de surveillance trouvent, entre autre, leur origine dans la loi renseignement de 2015 votée peu de temps après les attentats. Des mesures concrètes en découlent, comme par exemple les boîtes noires activées en 2017 et installées chez tous les fournisseurs d’accès pour intercepter les connexions Internet en milieu résidentiel. Elles sont venues enrichir l’arsenal technique déjà en place et peuvent être mobilisées à la demande.

Le gouvernement insiste sur le fait que, le plus souvent, les équipements de surveillance (boîtes noires ou autres) ne collectent pas ce qui est dit ou fait mais seulement le moment où cela se produit,le temps que cela prend, etc. Mais c’est n’est pas particulièrement rassurant : si vous avez appelé votre psychanalyste douze fois en une journée, il y a fort à parier que vous n’avez pas parlé du menu de votre prochain repas. Il est pareillement possible de déduire à quel moment et en présence de qui se déroulent les réunions du bureau d’une association dont les membres se connectent mensuellement à un service de visioconférence.

Ce qui apparaît ici, c’est le dilemme quotidien auquel nous sommes, de nos jours, tous et toutes confrontés : il n’est pas possible d’avoir une parfaite sécurité et une parfaite protection de notre vie privée. C’est comme avoir un chat et une souris : soit on se sépare de l’un des deux (en acceptant, bien souvent, que le premier dévore la seconde), soit on les contrôle l’un et l’autre.

Des autorités de contrôle officielles existent : la surveillance des gens qui nous surveillent est confiée par l’État à la CNCTR, une « autorité administrative indépendante » créée en 2015. Comme toute AAI, ses employés sont rémunérés par l’État mais elle est supposée ne pas, pour autant, relever de l’autorité du gouvernement et disposer d’un réel pouvoir. Dans son rapport annuel d’activité 2018, elle précise que ses 17 agents ont examiné plus de 70 000 de demandes de surveillance (page 62). Seules 2,1 % de ces demandes ont fait l’objet d’un avis défavorable (page 65).

Mais l’appareil d’État n’est pas le seul en cause ici : un regard critique doit aussi être porté sur les entreprises qui, par un discours marketing bien ficelé, prétendent veiller à la confidentialité des échanges dont ils sont les intermédiaires. Ils peuvent induire en erreur les personnes non averties techniquement avec des demi vérités. C’est le cas de Zoom qui n’hésite pas a redéfinir le terme « chiffrement de bout en bout » pour le faire correspondre à ses pratiques. Induire sa clientèle en erreur n’est pas une idée nouvelle, Skype l’a aussi fait en 2013 en laissant croire que les communications étaient chiffrées de bout en bout. En tout cas, comme l’a démontré la participation de Skype au programme PRISM, ces entreprises obéiront servilement aux injonctions des États dans lesquels leurs intérêts sont représentés, même si cela va à l’encontre de l’intérêt général.

Tout cela n’a rien de réjouissant et n’aide pas à briller dans les dîners mondains tant le sujet est technique et ennuyeux. Mais, parce qu’elle promet aux lanceuses et lanceurs d’alerte ainsi qu’à toutes celles et ceux qui les soutiennent de protéger les informations qu’ils et elles lui confient, la Maison des Lanceurs d’Alerte a du trouver des contre-mesures pour contourner les risques d’intrusion des plateformes de visioconférence.

La bonne nouvelle, c’est que ces solutions existent, qu’elles ont été testées et approuvées. Certes, elles impliquent parfois un certain inconfort mais l’objectif est atteint : la confidentialité des échanges vidéo et audio est assurée. Grâce à des serveurs de visioconférence installés par l’équipe technique, et que les permanents utilisent à l’exclusion de tout autre moyen, les conversations qui ont lieu entre les juristes sur un dossier particulier sont protégées avec autant de précautions que les documents concernant l’alerte en question. Ce système résout en effet plusieurs problèmes :

  • Il n’y a pas de prestataires intermédiaires (tels que Zoom ou Skype). Par conséquent, personne n’est en mesure d’intercepter le contenu des conversations ou même leur horaire de début et de fin.
  • L’audio et la vidéo sont chiffrés (voir les détails pour Jitsi et BigBlueButton) et ne peuvent être interceptés par les boîtes noires.
  • Le serveur qui fait le lien entre les participants est sous le contrôle de la MLA et personne n’est en position de prendre la main pour capter les conversations.

Parce qu’une protection efficace des informations sensibles passe par un chiffrement de toutes les informations, les serveurs de visioconférence de la MLA sont utilisés pour toutes les conversations, même les moins confidentielles.

Lorsqu’une organisation de taille modeste – comme la MLA – se soucie de la confidentialité de ses échanges, le choix d’un service de visioconférence plutôt qu’un autre dépend alors des risques de « portes dérobées » dans les logiciels installés et des risques d’écoute et de fuite des enregistrements. Des services tels que Zoom ou Skype ne présentent aucune garantie à ce sujet. À l’inverse, Jitsi et BigBlueButton, lorsqu’ils sont installés sur ses propres serveurs, sont entièrement sous le contrôle de l’organisation qui les utilise au lieu de dépendre d’un intermédiaire technique. Pour la MLA, c’est un point crucial : c’est à cette condition que la promesse faite aux lanceurs d’alerte de protéger leurs informations est tenue.

 

Comment choisir un service de visioconférence ?

Les exemples suivant illustrent les critères les plus importants dans le choix d’une solution de visioconférence. Ils sont détaillées dans l’espoir qu’ils puissent servir à d’autres organisations soucieuses de préserver leurs données et s’adressent en priorité à des personnes techniquement averties. Des particuliers peuvent aussi s’en inspirer, à condition qu’ils disposent de l’expertise nécessaire.

Les critères s’appuient sur la comparaison de 4 solutions existantes :

 

Garantie de confidentialité des échanges ?

  • Skype: non
  • Zoom: non
  • Jitsi: oui
  • BigBlueButton: oui

L’idéal pour garantir la confidentialité des échanges est un chiffrement de bout en bout mais aucun logiciel ne le fait. À défaut, la personne qui contrôle le serveur peut enregistrer en clair toutes les conférences qui s’y déroulent. Dans le cas de Skype et de Zoom, cela signifie que l’État ou l’autorité judiciaire peuvent ordonner la mise en place d’un système d’écoute. BigBlueButton et Jitsi sont des systèmes logiciels libres que toute organisation peut héberger sur ses propres serveurs (par définition sous son contrôle) afin de garantir la confidentialité des conférences.

Faut-il installer une application ?

  • Skype: oui
  • Zoom: oui
  • Jitsi: non
  • BigBlueButton: non

Depuis plusieurs années, tous les navigateurs web (Firefox, Chrome, Safari, Edge, etc.) savent se connecter à une visioconférence sans installer une application ou une extension pour peu qu’elle utilise le standard WebRTC, créé en 2011, comme c’est le cas pour Jitsi ou BigBlueButton. Skype, qui est né en 2003, ne connaît pas WebRTC et impose donc l’installation d’une application pour chaque utilisateur. C’est aussi le cas de Zoom qui repose pourtant sur le standard WebRTC.

Installer une application présente deux problèmes :

  • Zoom et Skype sont des applications propriétaires qu’il n’est pas possible d’analyser : elles peuvent contenir une porte dérobée ou communiquer des informations à propos de l’utilisateur à son insu.
  • Installer l’application est une étape supplémentaire qui peut constituer une barrière technique (la machine est-elle assez puissante ? l’environnement est-il compatible avec le logiciel ? etc.) lorsqu’une personne utilise ce logiciel pour la première fois.

 

Quel est le nombre maximum de participants ?

  • Skype : 100+ (audio + vidéo)
  • Zoom : 100+ (audio + vidéo)
  • Jitsi : 5 en vidéo, 20 en audio.
  • BigBlueButton : 50 (audio + vidéo)pour quelques euros de plus par mois et avec une compétence technique légère, BigBlueButton peut accueillir plus de 100 personnes.

Skype et Zoom ont une infrastructure centralisée avec de puissantes machines conçues pour des téléconférences audio et vidéo avec une centaine de participants. BigBlueButton est utilisé dans le milieu universitaire, en vidéo et en audio, et convient, par exemple, pour s’adresser à une cinquantaine d’élèves qui ne prennent qu’occasionnellement la parole. Jitsi est conçu pour fonctionner avec un serveur très peu puissant et convient pour des conférences vidéo avec moins de cinq personnes et des conférences audio avec moins de vingt personnes.

SFU vs MCU

  • Skype: MCU
  • Zoom: MCU
  • Jitsi: SFU
  • BigBlueButton: MCU

La différence entre SFU ou MCU concerne les performances des participants et celles du serveur hébergeant la plateforme :

SFU n’utilise que peu de ressources serveur mais impose que les participants aient une bonne connexion internet (plus de bande passante et la capacité de gérer plusieurs flux simultanés)

SFU securiser visioconferences

MCU utilise beaucoup de ressources sur le serveur (parce qu’il doit mixer les flux vidéos de tous les participants en temps réel) mais les participants ayant une connexion internet de mauvaise qualité auront une meilleure expérience (un seul flux vidéo)

MCU securiser visioconferences