Démocratisation des messageries grand public au sein des entreprises : quelles conséquences en matière de sécurité ?

Facebook, réseau social le plus populaire au monde, a fêté ses 15 ans en février dernier. Ces dernières années, sa propension à récolter les données personnelles de ses utilisateurs lui a causé de sérieux problèmes, livrant des dizaines de millions d'internautes à de la propagande politique ciblée et à des tentatives d'usurpation d'identité à grande échelle. On peut même arguer que sans Facebook et d'autres réseaux sociaux, il n'aurait pas été nécessaire de créer le RGPD.

À quels défis de sécurité majeurs les équipes informatiques seront-elles confrontées à l'avenir ? En réalité, la plupart de ces défis seront liés au Shadow IT.

Une ombre plane sur la sécurité

Il y a quinze ans, tout le monde parlait des risques liés au BYOD (Bring Your Own Device) au sein des entreprises. Aujourd'hui, ce ne sont plus nécessairement les appareils personnels qui posent un réel problème de sécurité aux entreprises, mais plutôt les applications exécutées depuis ces appareils. Lorsque l'on évoque la menace du BYOA (Bring Your Own Access), deux applications Facebook tirent leur épingle du jeu : WhatsApp et Messenger.

Le problème, comme avec la majeure partie du Shadow IT, est que ces applications grand public sont si faciles à utiliser que leurs équivalents professionnels sont souvent délaissés par les collaborateurs au sein de l'entreprise. L'an dernier, le nombre moyen d'utilisateurs mensuels a été estimé à 1,5 milliard sur WhatsApp et à plus d'1,3 milliard sur Messenger.

Pourquoi s'ennuyer à utiliser un produit inférieur quand il est si facile et rapide de créer des groupes avec ses collègues sur ce type de plateforme ? Elles peuvent même sauver des vies : des médecins du NHS, le système de santé publique britannique, ont dit s'être beaucoup appuyés sur ce type d'applications pour communiquer rapidement lors de situations d'urgence.

Cependant, malgré leur utilité et leur capacité de chiffrement de bout en bout, ces applications représentent un risque pour l'infrastructure informatique de l'entreprise. Pourquoi ? Car les équipes informatiques n'ont aucune vue d'ensemble sur les contenus qui sont partagés via ces plateformes. Il pourrait en effet s'agir d'adresses IP hautement confidentielles ou de données relatives aux clients ou aux collaborateurs, dont le traitement est désormais encadré par le RGPD. Or, il est peu probable que les consommateurs aient donné leur accord explicite pour que leurs données soient partagées sur ce type de plateformes tierces.

L'utilisation généralisée de plateformes de messagerie comme celles-ci exposent l'entreprise à des risques informatiques, et ce à plusieurs titres. Les comptes peuvent être protégés par des mots de passe faibles, ou accessibles via des identifiants déjà employés sur d'autres sites. Ils peuvent donc être piratés, usurpés ou forcés via des attaques de credential stuffing consistant à dérober les identifiants pour les utiliser ou les revendre.

En 2018, une nouvelle tactique a même été dévoilée : elle consiste à exploiter les failles des systèmes de messagerie vocale des opérateurs téléphoniques pour accéder illégalement aux comptes WhatsApp. Le phishing demeure également une pratique courante pour diffuser les malwares et accéder à des comptes de messagerie. Tout récemment, les membres du Parlement Britannique ont été prévenus d'une nouvelle tentative de phishing suite au détournement du compte WhatsApp d'un député du parti Tory.

Si WhatsApp a renforcé l'an dernier la granularité des contrôles à disposition des administrateurs de groupes, un risque de vol de données subsiste. Il est possible que certaines personnes restent dans un groupe longtemps après avoir quitté une entreprise, ce qui leur donne par la suite l'opportunité de relayer des informations sensibles à leur nouvel employeur, ou de divulguer celles-ci par désir de vengeance personnelle, par exemple.

Reprendre le contrôle

Tout cela soulève des questions importantes pour les RSSI. La prochaine étape est critique car les entreprises ne pourront pas continuer pendant des années à laisser la plupart de leurs collaborateurs manipuler des données sensibles via des canaux non réglementés. Sinon, elles pourraient bien finir parmi les plus de 60 000 organisations ayant signalé des vols de données aux instances de contrôle du RGPD.

Les responsables informatiques doivent donc se rapprocher de leurs utilisateurs. Ils doivent accepter les raisons pour lesquelles les collaborateurs utilisent leurs propres applications et, au minimum, les encourager à utiliser celles-ci de manière plus sûre. Plusieurs techniques peuvent permettre cela : un accès sécurisé aux comptes par double authentification, une option pour effacer les données à distance en cas de vol ou un verrouillage automatique par mot de passe après quelques secondes d'inactivité. De plus, il faudrait vivement recommander aux administrateurs de vérifier les membres de toutes les conversations du groupe pour veiller à ce que seul le personnel concerné y participe.

Cela implique un changement d'état d'esprit de la part des services informatiques des entreprises. Toutefois, ces dernières doivent être conscientes que, si elles n'innovent pas, ce sont leurs collaborateurs qui le feront, au détriment de la sécurité et de la conformité réglementaire.

Bonne nouvelle : Facebook a pris des initiatives en matière de messagerie d'entreprise avec sa plateforme Workplace. C'est une avancée positive puisque des outils de sécurité tiers peuvent être connectés aux installations existantes via des API, offrant aux services informatiques davantage de visibilité et de contrôle en termes de messagerie et de collaboration. Il serait intéressant de proposer cette option aux salariés comme alternative sécurisée à WhatsApp et Messenger. Néanmoins, tant que les utilisateurs continueront d'utiliser les applications les plus populaires, les responsables informatiques devront se montrer plus proactifs.

Certaines entreprises ont essayé de faciliter la tâche de leurs utilisateurs en mettant en place une identification via Facebook pour accéder à leurs applications d'entreprise. Néanmoins, c'est une tendance qu'il ne faudrait pas encourager lors des années à venir. Il est nécessaire de trouver un équilibre entre convivialité et sécurité. Or, comme la faille Facebook l'a prouvé l'an dernier, le fait de mettre en place une identification consolidée via une seule plateforme peut en réalité accroître les risques de piratage.

Tout le problème ne vient pas de Facebook, loin de là. Les outils de Google, Slack et d'autres fournisseurs représentent des défis similaires aux entreprises en termes de sécurité informatique. Mais Facebook est le plus gros poisson. Et s'il y a bien une certitude avec les cybercriminels, c'est qu'ils graviteront toujours autour du bassin d'utilisateurs le plus important...

¹ Source : https://www.england.nhs.uk/2018/11/instant-messaging-services-a-vital-part-of-the-nhs-toolkit-during-a-crisis/

² Source : https://www.buzzfeed.com/alexwickham/a-malicious-hack-accessing-mps-phone-and-email-contacts

³ Source : https://newsroom.fb.com/news/2018/10/update-on-security-issue/

En savoir plus sur l'auteur

Loïc Guézo est stratégiste cyber-sécurité Europe du Sud chez Trend Micro. Il supervise le développement stratégique de Trend Micro auprès de ses clients et partenaires, et intervient également auprès des médias en tant qu'expert dans le domaine de la cyber-sécurité. Loïc Guézo représente l'entreprise notamment pour la France auprès du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), de l'ISA-France et de l'EXERA (pour les aspects de cyber-sécurité en environnement industriel SCADA). D'autre part, il est membre du Cercle Européen de la Sécurité et des Systèmes d'Information, cercle référent des décideurs en cyber-sécurité.