TeamViewer Trust Center

Votre source unique des dernières informations relatives à la sécurité, à la conformité et aux performances système.

STATUT ACTUEL DU SYSTÈME

Datacenters et dorsale

Tous les serveurs TeamViewer sont hébergés dans des datacenters sécurisés et conformes à la norme ISO 27001. De plus, ils utilisent des alimentations électriques redondantes et des connexions de porteurs à multi-redondance. Elles incluent la protection des données de l’ensemble RAID, la mise en miroir et la sauvegarde des données, le stockage sur serveur hautement disponible et les systèmes de routeur avec des mécanismes de récupération d’urgence, ainsi que des procédures mises en place pour offrir un service continu. De plus, tous les serveurs qui stockent des données sensibles se trouvent en Allemagne ou en Autriche.

Les datacenters ont implémenté des contrôles dernier cri en matière de sécurité, c’est-à-dire le contrôle de l’accès personnel, la vidéosurveillance, les détecteurs de mouvement, ainsi que la surveillance 24 heures sur 24 et 7 jours sur 7. Par ailleurs, le personnel de sécurité sur site vérifie que l’accès au datacenter est uniquement accordé aux personnes autorisées et garantit la meilleure sécurité possible pour le matériel et les données. Un contrôle d’identification détaillé est également effectué à l’unique point d’entrée du datacenter.

Signature de code

En guise de fonctionnalité de sécurité supplémentaire, tous nos logiciels sont signés via la signature de code VeriSign. De cette façon, l’éditeur du logiciel est toujours aisément identifiable. Si le logiciel est modifié par la suite, la signature numérique est automatiquement invalidée.

Sessions TeamViewer

CRÉATION D’UNE SESSION ET TYPES DE CONNEXION

Lorsque vous établissez une session, TeamViewer détermine le type de connexion optimal. Après un passage par nos serveurs maîtres, une connexion directe via UDP ou TCP est établie dans 70 % des cas (même derrière des passerelles, NAT et pare-feu standard). Le reste des connexions est acheminé dans notre réseau de routeur hautement redondant via la tunnellisation https ou TCP.

Il est inutile d’ouvrir des ports pour travailler avec TeamViewer.

CRYPTAGE ET AUTHENTIFICATION

Le trafic TeamViewer est sécurisé à l’aide d’un échange de clé publique/privée RSA et d’un cryptage de session AES (256 bits). Cette technologie est utilisée dans une forme comparable pour le protocole https/SSL et est considérée 100 % sécurisée par les normes actuelles.

Comme la clé publique ne quitte jamais l’ordinateur du client, cette procédure garantit que les ordinateurs interconnectés, notamment les serveurs de routage TeamViewer, ne peuvent pas déchiffrer le flux de données. Les opérateurs des serveurs de routage comme TeamViewer ne peuvent en aucun cas lire le trafic des données cryptées.

L’intégralité du transfert de données de la Management Console s’effectue via un canal sécurisé qui utilise le cryptage TSL (Transport Security Layer), la norme pour les connexions réseau Internet sécurisées. Pour l’authentification et le cryptage du mot de passe, le protocole Secure Remote Password (SRP), un protocole de concordance de clé authentifiée par mot de passe (PAKE) augmenté, est utilisé. Un infiltrateur, ou homme du milieu, ne peut obtenir suffisamment d’informations pour deviner un mot de passe par force brute. Cela signifie qu’une sécurité élevée peut être obtenue même avec des mots de passe faibles. Toutefois, TeamViewer recommande de respecter les meilleures pratiques du secteur en matière de création de mots de passe, afin de garantir les niveaux de sécurité les plus élevés.

Chaque client TeamViewer a déjà mis en œuvre la clé publique du cluster maître et peut donc crypter les messages sur le cluster maître et vérifier les messages qu’il a signés. La PKI (Public Key Infrastructure ou infrastructure de clé publique) prévient efficacement les « attaques de l’homme du milieu » (MITM, man-in-the-middle-attacks »). Malgré le cryptage, le mot de passe n’est jamais envoyé directement, mais uniquement par le biais d’une procédure défi-réponse, et est enregistré uniquement sur l’ordinateur local. Lors de l’authentification, le mot de passe n’est jamais transféré directement du fait que le protocole Secure Remote Password (SRP) est utilisé. Seul un vérificateur de mot de passe est stocké sur l’ordinateur local.

Validation d’ID TeamViewer

Les ID TeamViewer s’appuient sur diverses caractéristiques matérielles et logicielles et sont automatiquement générés par TeamViewer. Les serveurs TeamViewer contrôlent la validité de ces ID avant chaque connexion.

Protection contre les attaques par force brute

Les futurs clients qui s’inquiètent de la sécurité de TeamViewer posent souvent des questions sur le cryptage. Et ce à juste titre, car le risque qu’une tierce personne puisse contrôler la connexion ou que les données d’accès à TeamViewer soient exploitées est leur plus grande crainte. Cependant, la réalité, c’est que les attaques plutôt primitives sont souvent les plus dangereuses.

Dans le cadre de la sécurité informatique, une attaque par force brute est une méthode par tâtonnements pour deviner un mot de passe protégeant une ressource. Avec la croissance de la puissance de calcul des ordinateurs standard, le temps nécessaire pour deviner les mots de passe longs a été progressivement réduit.

Pour se protéger contre les attaques par force brute, TeamViewer augmente de plus en plus la latence entre les tentatives de connexion. Ainsi, il faut pas moins de 17 heures pour 24 tentatives. La latence est uniquement réinitialisée après avoir correctement saisi le mot de passe adéquat.

TeamViewer intègre non seulement un mécanisme pour protéger ses clients des attaques émanant d’un ordinateur spécifique, mais également de plusieurs ordinateurs, appelées attaques de botnet, qui tentent d’accéder à un ID TeamViewer spécifique.

Ports TeamViewer

PORT TCP/UDP 5938

TeamViewer préfère effectuer des connexions TCP et UDP sortantes sur le port 5938. C’est en effet le principal port que la solution utilise, et c’est également celui qui fournit les meilleurs résultats. Votre pare-feu doit utiliser ce port au minimum.

PORT TCP 443

Si TeamViewer ne peut pas se connecter sur le port 5938, il essaiera alors le port TCP 443.
Toutefois, nos applications mobiles sous Android, iOS, Windows Mobile et BlackBerry n’utilisent pas le port 443.

Remarque : le port 443 est également utilisé par nos modules personnalisés qui sont créés dans la Management Console. Si vous déployez un module personnalisé, par exemple via Group Policy, vous devez vérifier que le port 443 est ouvert sur les ordinateurs sur lesquels vous réalisez le déploiement. Le port 443 est également utilisé pour d’autres choses, notamment les contrôles des mises à jour TeamViewer.

PORT TCP 80

Si TeamViewer ne peut pas se connecter sur le port 5938 ou 443, il tentera alors sur le port TCP 80. La vitesse de la connexion sur ce port est plus lente et moins fiable que sur les ports 5938 ou 443, à cause du temps système supplémentaire qu’il utilise. De plus, il n’y a aucune reconnexion automatique si les connexions sont temporairement perdues. C’est pour cette raison que le port 80 est uniquement utilisé en dernier ressort.
Nos applications mobiles sous Android, Windows Mobile et BlackBerry n’utilisent pas le port 80. Cependant, nos applications iOS peuvent utiliser le port 80, le cas échéant.

Android, Windows Mobile et BlackBerry

Nos applications mobiles sous Android, Windows Mobile et BlackBerry peuvent uniquement se connecter sur le port 5938. Si l’application TeamViewer sur votre appareil mobile ne se connecte pas et vous demande de « vérifier votre connexion Internet », c’est probablement parce que ce port est bloqué par votre fournisseur de données mobiles ou votre pare-feu/routeur Wi-Fi.

Adresses IP de destination

Le logiciel TeamViewer effectue les connexions sur nos serveurs maîtres présents aux quatre coins du monde. Ces serveurs utilisent différentes plages d’adresses IP, qui changent souvent. À ce titre, nous ne sommes pas en mesure de fournir une liste des IP de nos serveurs. Pourtant, toutes nos adresses IP disposent d’enregistrements PTR qui se résolvent en *.teamviewer.com. Vous pouvez l’utiliser pour restreindre les adresses IP de destination, que vous autorisez via votre pare-feu ou votre serveur proxy.

Cela étant, du point de vue de la sécurité, cela ne devrait pas vraiment être nécessaire, car TeamViewer initie uniquement les connexions de données sortantes via un pare-feu. Il suffit donc de bloquer simplement toutes les connexions entrantes sur votre pare-feu et de n’autoriser que les connexions sortantes sur le port 5938, quelle que soit l’adresse IP de destination.

Tableau des ports utilisés par système d’exploitation

Site Web TeamViewer.com

Les mesures de sécurité suivantes sont appliquées sur le site Web teamviewer.com.

MCAFEE SECURE

La marque de confiance McAfee Secure est décernée aux sites Web qui sont certifiés par McAfee comme étant exempts de malwares, de virus, d’attaques de phishing et de liens malveillants.

Obtenez des offres exclusives et les dernières nouvelles Abonnement à la newsletter