Opinion : le partage de fichiers, un vecteur encore trop simple de cyber-espionnage

Oui, il reste bon nombre d’inconscients - pour rester aimable.

Oui, il reste bon nombre d’inconscients - pour rester aimable. Et ce ne sont pas forcément des employés du bas de la hiérarchie. Dans l’exemple qui inspire ces lignes, il s’agit rien moins que du co-fondateur et PDG d’une startup européenne. Une entreprise qui a développé une application mobile et qui, pour mieux séduire les internautes, a récemment eu recours aux services d’un cabinet de conseil en interfaces utilisateur pour faire évoluer son site Web. Une jeune pousse qui semble gérée avec prudence et dispose encore de suffisamment de cash pour tenir jusqu’à la fin de l’été 2013. Mais elle compte lever des fonds d’ici là. Las, à ce jour, son service n’a pas encore profité d’une viralité suffisante pour assurer son développement rapide. Alors elle a engagé un plan stratégique de recrutement d’utilisateurs. Tout cela, et bien plus encore, on l’apprend dans son «management report» du quatrième trimestre 2012. Un document que l’on peut légitimement considérer comme sensible, de même que la liste des noms et adresses e-mail des utilisateurs du service... Autant de fichiers librement accessibles sur un dossier partagé, ouvert à tous les vents, par le CEO de l’entreprise, sur son MacBook. Son dossier «téléchargements» en fait, où ces documents sensibles cohabitent avec des fichiers Torrent et autres films et séries téléchargés sur Internet. Certaines de ces informations pourraient en tout cas être utilisées à des fins d’intelligence économique, par exemple pour faire capoter la prochaine levée de fonds espérée. Voire ravager la réputation de l’entreprise en matière de protection des données personnelles. Et l’on imagine bien qu’il ne s’agit pas d’une structure aux reins aussi robustes qu’un Facebook ou qu’un LinkedIn. Ce dossier partagé, je l’ai découvert par hasard dans le voisinage réseau de mon Mac connecté au réseau WiFi de l’aéroport de San Francisco, terminal international, salon Air France. Un exemple parmi tant d’autres - sur les salons professionnels, ce genre de découverte est fréquente; je me souviens du dossier partagé d’un directeur marketing régional d’un spécialiste de la virtualisation, il y a quelques mois. Ces deux exemples sont particulièrement emblématiques de l’inconscience - potentiellement lourde de conséquences - de certains cadres, voire dirigeants. Et ils ne sont pas isolés, loin s'en faut.

Le facteur humain, seulement Pas besoin, là, de logiciels malveillants sophistiqués ni de

phishing ciblé... Si je devais me lancer dans l’espionnage économique, je pense que je me ferais embaucher comme technicien de surface dans un aéroport ou un centre de conférences international. Cela renvoie encore une fois au bon vieux «facteur humain ». Un facteur «parfois négligé», comme le soulignait encore David Emm, consultant en technologies senior de Kaspersky au Royaume-Uni, qui intervenait en janvier lors d’une conférence de presse préalable à Infosecurity Europe (à Londres fin avril). Pour lui, puisqu’on parle de menaces informatiques comme de menaces techniques, «les entreprises investissent des montants considérables dans des outils technologiques». Mais elles oublient l’humain. Et d’estimer que, dans de nombreux cas -

phishing ciblé, pièces jointes malicieuses, liens vers des pages Web frauduleuses... «le problème est humain et nécessite une solution relevant de la gestion des ressources humaines, pas de l’IT. Il faut de la sensibilisation, pas de la formation - la sécurité, c’est un état d’esprit. [...] La psychologie est importante; il s’agit de personnes ici, pas d’utilisateurs.» Alors oui, David Emm le reconnaît volontiers, «le changement ne survient pas en une nuit» mais il rappelle que «conduire sans ceinture de sécurité, après avoir bu de l’alcool a été, par le passé, socialement acceptable...» Certes, estimeront certains à juste titre, un outil de prévention des fuites de données (correctement) configuré aurait peut-être pu éviter les incidents mentionnés ici en exemple. Mais un effort de sensibilisation aussi. Rassurez-vous, les deux inconscients ont été prévenus; le plus récent par téléphone, son numéro figurant sur l’un des fichiers PDF de son dossier partagé.

Pour approfondir sur Protection du terminal et EDR

Close