Des recherches journalistiques en Allemagne montrent qu’il existait des vulnérabilités dans le programme d’appels vidéo Webex de Cisco, ce qui a permis pendant un certain temps de visualiser des informations sur des dizaines de milliers de réunions de fonctionnaires européens. On apprend à présent que les réunions Webex en Belgique ont également pu être accessibles. ‘Ces données peuvent s’avérer très précieuses pour les espions et les criminels’, selon le média allemand Die Zeit, qui a découvert les problèmes.
Cette semaine, il est notamment apparu que le gouvernement néerlandais a été victime des vulnérabilités du logiciel Webex de Cisco. ‘Cela a conduit à la découverte de soi-disant métadonnées issues de réunions Webex de différents ministres’, rapporte le gouvernement. Ces métadonnées incluent des informations sur l’hôte, le numéro d’identification et le thème de la réunion, ainsi que l’horaire de la concertation Webex.
Participation réelle
La journaliste Eva Wolfanger de Die Zeit a même réussi à participer réellement à une réunion en ligne dans son propre pays. C’était une réunion du SPD, le Parti social-démocrate. De plus, elle n’avait pratiquement aucun effort à faire pour trouver des réunions: il lui suffisait généralement d’ajouter un chiffre à l’URL ‘facile à trouver’ de la réunion. Aucun mot de passe n’était demandé. Il est peu probable que les visioconférences du gouvernement néerlandais soient tout aussi vulnérables, car elles sont normalement protégées par un mot de passe obligatoire.
Des recherches complémentaires effectuées par Eye Security ont entre-temps montré que les vulnérabilités de Webex pouvaient avoir également été abusées en Belgique. Selon le spécialiste de la cybersécurité, les métadonnées du Service Public Fédéral Justice et de la Commission européenne, entre autres, pouvaient être consultées, mais aussi d’autres organisations, comme les hôpitaux. ‘Nos chercheurs ont examiné quels types d’appareils sont connectés à internet et où du matériel Cisco est utilisé’, explique Lodi Hensen, VP Security Operations chez Eye Security, à Data News. ‘Dans de nombreux cas, vous pouvez savoir de quelles organisations il s’agit à partir des noms de domaine. Si de tels systèmes étaient configurés de la même manière que l’équipement qui s’est avéré vulnérable, il est plausible que des personnes malveillantes aient pu y accéder.’
Hensen ne peut pas dire si tel a été réellement le cas dans notre pays. Quoi qu’il en soit, les problèmes détectés ont désormais été résolus par Cisco. Mais Hensen estime qu’il ne fait aucun doute que de telles vulnérabilités peuvent être potentiellement très dangereuses. ‘Il a été possible de récupérer assez facilement toutes sortes de métadonnées sensibles des réunions, telles que les thèmes et les participants. Les services de renseignement agissent en fait exactement de la même manière, lorsqu’ils veulent savoir quelles personnes participent à certaines réunions, sur quoi portent ces réunions et qui sont les décideurs. De telles données ne devraient jamais être aussi faciles à récupérer. Dans ce genre de cas, il suffisait même de modifier aléatoirement certaines lettres ou chiffres dans l’URL de la réunion’, précise Hensen.
Surveiller de près
Aux Pays-Bas, le ministère des Binnenlandse Zaken en Koninkrijksrelaties (BZK) a ouvert une enquête. ‘Je trouve inacceptable que cela ait pu se produire et que ces vulnérabilités du gouvernement central nous soient parvenues via les médias allemands, plutôt que via le fournisseur’, réagit la secrétaire d’Etat néerlandaise BZK, Alexandra van Huffelen. ‘Je suis préoccupée par cette fuite d’informations et par la réponse tardive du fournisseur. Les administrateurs et les fonctionnaires doivent pouvoir être certains qu’ils peuvent se concerter à tout moment en toute sécurité.’
Les vulnérabilités découvertes ont désormais été corrigées par Cisco. En conséquence, l’incident n’a actuellement aucune conséquence sur l’utilisation de Webex par le gouvernement néerlandais. ‘Mais nous continuerons à surveiller cela de près. Le service ne peut pas être utilisé pour des réunions classées hautement confidentielles ou au cours desquelles des informations secrètes d’Etat sont abordées’, a encore ajouté la secrétaire d’Etat.
En collaboration avec Dutch IT Channel.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici