Entreprises : comment faire confiance aux applications de messagerie ?
Les médias évoquent régulièrement les failles de sécurité des messageries comme WhatsApp. L'occasion de s'interroger sur la confiance que nous pouvons leur octroyer.
Alors que les médias faisaient état la semaine passée d’une nouvelle vulnérabilité affectant WhatsApp, il est temps que nous nous posions la question : avec toutes les méthodes différentes que nous utilisons pour communiquer pour le travail, avec des amis et avec la famille, à quelles applications de messagerie pouvons-nous vraiment faire confiance ?
WhatsApp a récemment corrigé une faille détaillée dans CVE-2019-3568, dans laquelle une vulnérabilité de débordement de mémoire tampon permettait l'exécution de code à distance via une série spécialement conçue de paquets SRTCP envoyés à un numéro de téléphone cible. En résumé, un exploit de cette vulnérabilité pourrait permettre à un acteur malveillant d'appeler un numéro aléatoire de WhatsApp et installer un logiciel espion sur le téléphone de la cible.
Toute application fonctionnant sous le principe d’accepter et d’agir sur des données provenant de sources inconnues et non fiables constitue un risque pour les utilisateurs.
Les entreprises et les consommateurs peuvent aider à se prémunir contre ce type d’attaque en établissant un "cercle de confiance" fermé. Les utilisateurs et les administrateurs informatiques doivent pouvoir contrôler avec qui ils communiquent, par exemple en envoyant une invitation qui doit être acceptée avant tout message L'appel est envoyé ou reçu.
Que peuvent faire les entreprises ?
Les entreprises peuvent également exiger que tous les nouveaux contacts fournissent une preuve d’identité manuelle avant toute communication. Les entreprises doivent veiller à ce que leurs employés partagent en toute sécurité des données sensibles par le biais des canaux appropriés et à mettre en place des contrôles pour empêcher les acteurs malveillants d'accéder à ces données via des applications vulnérables.
Alors que la transformation digitale au sein des entreprises devient de plus en plus rapide, on constate que les applications grand public se frayent un chemin à travers les entreprises et le secteur public. L'année dernière, le système de santé publique britannique (NHS) a assoupli les règles relatives à l'utilisation des applications de messagerie, permettant ainsi aux médecins et aux cliniciens de partager des informations personnelles identifiables (PII) sur WhatsApp et d'autres outils grand public. En tant que citoyens, nous devons exiger que la sécurité de nos informations de santé et financières soient protégées au plus haut niveau.
L’idO, une confiance essentielle
Les avantages d’être constamment connectés sont nombreux et les possibilités vont des maisons intelligentes, plus confortables, aux paiements sans contact pour des transactions financières ultra-rapides ou encore à des appareils de santé plus intelligents, basés sur nos données, offrant des niveaux de soins plus personnalisés. Cependant, sans la confiance nécessaire, et essentielle, la promesse de l'IdO ne sera pas réalisée.
Nous savons depuis longtemps que la confiance repose sur trois piliers : la sécurité, la confidentialité et le contrôle. C'est pourquoi la confiance devrait être intégrée partout.
Malheureusement, de tels exploits vont se reproduire. C'est pourquoi les entreprises et les consommateurs doivent se demander : que vaut ma vie privée, et les entreprises qui collectent et stockent mes informations font-elles tout ce qui est en notre pouvoir pour les protéger ?