Actualités

Partager sur :
26 novembre 2020
Actualités

Intermines
[La Revue des Mines] VIDÉOCONFÉRENCE : QUELS SONT LES RISQUES ?

Vue 254 fois

Quel temps béni pour les outils de Vidéoconférence que celui du confinement ! Encore faut-il être bien au fait des questions de sécurité et de conformité de ces outils. 

Retour sur une conférence avec Éric Sinot (P83), guide de montagne informatique.

Le Club Mines Solutions Service a pris l’option en début de confinement d’organiser des vidéo-conférences pour parler des outils de vidéo-conférence si décriés. Le succès d’une première session interactive payante en deux parties (plus de 50 participants) a conduit le Club à organiser au total 3 sessions dans des plages horaires différentes, permettant un partage planétaire (participants de Thaïlande et du Japon). La plume est laissée à l’un des participants, Gabriel Dunand.

Depuis plusieurs années, les communications à distance font indéniablement partie de notre quotidien. Lorsque l’on parle de cybercommunication une multitude de noms nous vient à l’esprit : MS-Teams, Zoom, Discord, Skype, Webex, Jitsi Meet… Il existe un très grand nombre de plateformes, et chacun défend que celle qu’il utilise est la meilleure de toutes. Cependant, pour répondre à cette question, de nombreux facteurs entrent en jeu comme la sécurité, la conformité réglementaire, l’argent que l’on y investit, ainsi que l’utilisation que l’on en a.

Éric Sinot (P83), consultant indépendant vivant en Suisse et se définissant comme guide de montagne informatique, nous a tracé le chemin à travers les dangers des risques rencontrés lors de l’utilisation des logiciels de communication en ligne. C’est le Club Mines Solutions Service qui a organisé en deux parties trois sessions au printemps 2020. Ces sessions eurent un réel succès.

QUELS RISQUES ?

S’il est exact que la sécurité et la conformité sont deux idées très liées, néanmoins, cette dernière englobe la première. Prenant l’exemple d’une réunion internationale regroupant une vingtaine de personnes. Les risques existent à différents niveaux :

L’Organisateur

L’organisateur ne peut garantir une absence d’espion- nage. Ensuite, quelle loi s’applique, s’il est en France et que des participants sont aux États-Unis ou en Suisse comme l’était Éric Sinot lors de la vidéoconférence ? Plu- sieurs organisations régissent le cadre des séances en fonction des lieux et dans cet exemple nous pouvons mentionner :

UE-RGPD : Union européenne – Réglement Général sur la Protection des Données

CH-LPD : Protection des données personnelles en Suisse CCPA : California Consumer Privacy Act

Lors de l’échange, c’est la loi la plus détaillée et la plus forte qui prend le dessus sur l’autre. Ici, entre les trois, c’est la loi européenne qui encadre la réunion.

Les participants

Tout comme l’organisateur, il n’y a aucune garantie qui prouve que l’échange n’est pas sur écoute. D’autant plus que, grâce à certaines fonctionnalités, il est possible de participer à la réunion sous un faux nom, de changer le fond de la caméra ou encore de diffuser une vidéo préenregistrée. Typiquement, lors d’une vidéoconférence, un des participants est entré sous le pseudo de “père Fou- ras”. Et personne dans le groupe n’était en mesure de savoir qui se cachait sous ce nom, même pas l’organisateur. Sur le moment cela fait sourire, néanmoins, cela peut aussi troubler les individus se demandant quelles sont les intentions de ce participant qui ne déclare pas son identité.

La plateforme

Elle possède beaucoup de pouvoirs et on a tendance à l’oublier. Contractuellement, une grande partie de ce pou- voir ne peut être utilisée par la plateforme, qui en a néanmoins les moyens. Elle possède évidemment les mêmes droits que ceux des participants, et elle peut aussi récupérer ou vendre les données des utilisateurs.

Ces échanges de données sont souvent vus d’un mauvais œil. On pense par exemple aux 200 000 identifiants volés de Zoom, ou aux informations que stockent les GAFA sur leurs utilisateurs pour des raisons que nous ne connaissons généralement pas. Celle qui revient le plus souvent est la surveillance et le contrôle des discussions par des organisations inconnues ou gouvernementales. Ce qui peut relever de la théorie du complot, véritable fléau sur internet.

Maintenant, si en possédant une pensée plus progressiste, on se rend compte qu’en quelques minutes d’échanges oraux, la plateforme récupère un très grand nombre d’informations de discussion réutilisables par des entreprises développant des logiciels d’apprentis- sage (machine learning) et de traduction, c’est une réelle avancée pour les populations humaines ou robotiques ! Enfin, il existe aussi des démarches quelquefois abusives. C’est pourquoi certaines associations ont été créées, comme la quadrature du net, afin de dénoncer les plate- formes lorsqu’elles ne respectent pas les règles qui leur sont imposées. Ce sont les principales qui ont le pouvoir et le poids pour donner quelques fois raison aux consommateurs victimes de ces abus.

Le fournisseur d’accès

Tout comme la plateforme, le fournisseur d’accès (Orange, Bouygues, SFR, Free, La Poste…) possède beau- coup de moyens. Il contrôle les caractères, le son, les vidéos. Globalement, il a le droit de vie et de mort sur tout. Mais il est souvent oublié en termes de risque et de conformité…

Le fournisseur Télécom

On se méfie beaucoup de la plateforme, mais il ne faut pas oublier le hardware. En effet, le fournisseur Télécom filtre tout ce qui entre et sort. Ces fournisseurs-là sont contraints par des lois et ne font pas tout ce qu’ils sont en capacité de faire. Néanmoins, ces interdictions peuvent être levées par une décision de la justice ou des modifications de loi dans les pays.

Les moyens entre le fournisseur d’accès et le fournisseur Télécom sont les mêmes, mais ce qui les différencie est que le premier n’est pas encadré légalement aussi strictement que le second. C’est pourquoi certaines institutions développent des systèmes de communications sans être en relation avec les fournisseurs d’accès.

L’OUTIL DE VIDÉOCONFÉRENCE IDÉAL ET LES SOLUTIONS EXISTANTES

Globalement, il existe de nombreux risques à différents niveaux. Ce qui est intéressant maintenant, c’est de connaître les méthodes qui existent pour fournir un outil de vidéoconférence optimal. Pour analyser au mieux les outils existants, deux axes d’approche sont privilégiés :

 

1/ l’aspect privé et confidentiel des échanges

2/ l’existence d’un point central de communication

La solution décentralisée

S’il n’y a pas de point central, chaque nœud reçoit les informations de tous les autres en direct. Ce type de système s’appelle le “peer to peer”. Il multiplie le nombre de flux allant et remontant ce qui exige que chaque nœud ait un bon matériel. Il n’optimise pas non plus la vidéo et nécessite une excellente connexion réseau. On estime qu’il faut 1Mbits/s pour diffuser une vidéo et par conséquent, s’il y a 3 participants dans une même vidéoconférence, chaque nœud devra pouvoir débiter 3Mbits/s en réception comme en émission.

Malgré ces contraintes matérielles, la décentralisation des flux permet l’absence totale de contrôle sur l’en- semble du système. On peut donc en déduire que ce mode de communication n’est utilisable que par un petit groupe de participants (une petite dizaine grand maximum) avec un très bon matériel et un très bon réseau.

Le nœud de concentration

Pour communiquer avec un plus grand nombre d’individus tout en ayant une bonne qualité audiovisuelle, il faut obligatoirement passer par un pôle central. Ce système est un modbus en maître/esclave. Il n’y a qu’un seul flux qui est envoyé au point central, il est remixé, optimisé, puis renvoyé une seule fois à chaque nœud. Cela permet donc de joindre des personnes ne possédant pas foncièrement un matériel et une connexion de haute qualité. En effet, à la différence du système décentralisé, la demande en matériel n’est concentrée que sur le pôle commun afin qu’il puisse correctement remplir son rôle et optimiser les flux entrants et sortants.

Avec ce système l’hébergement se fait soit dans un espace ouvert (Open-source) soit dans un espace contrôlé (Cloud propriétaire). Dans les deux cas, la loi la plus forte est celle qui doit être respectée. En self-hosted, c’est-à-dire que le serveur est ouvert, le propriétaire a la main. Il peut à sa guise faire ce qui lui plaît dans l’espace des possibilités qui lui sont admises ou non. Dans ce cas-là d’ailleurs, il est en droit de dire s’il respecte ou non les lois et ainsi permettre une certaine garantie vis-à-vis de la conformité de la vidéoconférence. Il y a donc toujours une part de mystère concernant ce type d’utilisation, néanmoins, il n’est pas rare d’observer son utilisation dans des organismes plus ou moins importants. Il fonctionne notamment dans les PME et ETI.

La quantité d’information

Il est également intéressant de savoir aussi que la demande en énergie d’un flux visuel est dix fois supérieure à celle d’un flux audio. Il n’est du coup pas toujours utile de faire circuler des informations coûteuses en énergie et en traitement qui n’apportent pas toujours “une valeur ajoutée”. Cela rejoint les préoccupations environnementales d’économie d’énergie.

EN GUISE DE CONCLUSION

Les outils de vidéoconférence apportent des possibilités très grandes de télécommunication (télé : du grec ancien τñλε, tễle – “loin”). Le confinement planétaire du début de l’année 2020 a permis à la plupart d’entre nous, grâce à ces outils de pouvoir se rapprocher, échanger avec sa famille, ses amis, son travail, ses collègues éloignés, la terre entière tout en restant en face d’un écran sans sortir de chez soi. Comme tout médium ces outils com- portent des risques et menaces en ne maîtrisant pas l’utilisation de tous les flux d’information reçus ou émis. C’est exactement comme parler à une personne dans la rue : il est possible de parler à un inconnu, surprendre une conversation délicate, rencontrer des amis, se donner un rendez-vous, être écouté, voire épié… Faut-il pour- tant ne faire que des conversations de rue ?

Le conférencier a bien mis en avant la nécessité de se poser les bonnes questions, de prendre du recul devant la multitude d’informations et de rumeurs circulant à propos de tels ou tels outils dont le fondement est sujet à caution. À ce titre la prévalence de la conformité devant la sécurité a bien été mise en évidence. “Savoir discerner”, voilà une sagesse à ne pas oublier. 

Texte proposé par Gabriel Dunand.

 

 

Pour plus d’informations : Eric Sinot (P83) - eric.sinot@lesmontagnesinvisibles.ch - linkedin.com/in/ericsinot

 

Pour vous abonner à la Revue : https://www.inter-mines.org/fr/publications/la-revue-des-mines/s-abonner-a-la-revue-18090 




Commentaires

Vous devez être connecté pour laisser un commentaire. Connectez-vous.