Spécial sécurité : Facebook et Twitter au bureau, les bonnes pratiques
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s'intéressent au guide de bonnes pratiques à l'usage des utilisateurs de Facebook et Twitter publié par l'administration américaine. Un manuel de survie 2.0 aisément exploitable par toute organisation. Avant de s'amuser de la énième perte de données personnelles aux Etats-Unis, où le banquier étourdi à l'origine de l'affaire a la chance de trouver l'oreille d'un juge compatissant.
Sommaire
1 - Facebook et Twitter sur le lieu de travail
2 - Faire de l’argent avec des trous
3 - Tiens, un banquier... zut, un abus de pouvoir
1) Facebook et Twitter sur le lieu de travail
« Guidelines for Secure Use of Social Media by Federal Departments and Agencies » est un document émis par le « CIO Council » de l’Administration US, et qui définit les grandes lignes d’une politique de sécurisation des infrastructures informatiques gouvernementales contre les dangers provoqués par les réseaux sociaux. Du phishing ciblé aux fuites d’information, en passant par l’ingénierie sociale ou l’attaque en drive by download, ces nouveaux médias sont de plus en plus exploités. Mais ignorer ces nouveaux modes de communication peut également entraver la bonne marche d’un service, ou fermer à une entreprise de nouveaux débouchés promotionnels par exemple.
Ce document d’une vingtaine de pages passe en revue les points les plus sensibles, les actions à entamer pour limiter les risques, tant à l’échelon humain qu’au niveau des dispositions techniques (réseau, infrastructure, poste de travail, filtrage etc). Cette méthode est bien entendu parfaitement adaptable à toute entreprise et n’a strictement rien de spécifique aux rouages de l’Administration Américaine.
2) Faire de l’argent avec des trous
Recette pour détourner l’attention ou tentative philosophale destinée à transformer du plomb en or et des failles de sécurité en business « gagnant-gagnant » ? Adobe publie une annonce conjointe avec McAfee, dans laquelle on apprend le lancement d’une « solution » DRM (gestion des droits numériques, autrement dit système anti-copie) couplée à un DLP (détection/prévention des fuites d’information). A ceci viennent s’ajouter les outils gratuits d’analyse antivirale offerts par McAfee à toute personne souhaitant installer Adobe Reader et Adobe Flash Player.
Il faut lire, sur le blog de Nono, ce papier aussi fouillé que drôle traitant précisément de la sécurité très relative des fichiers (pardon, des outils de lecture) PDF. Il faut également voir à quel point l’usage de ce format (dans les bannières publicitaires notamment) peut transformer une campagne de publicité en un croquignolet botnet… ou presque. Les chercheurs de ScanSafe ont détecté une attaque utilisant des bannières de réclame affichées sur des sites Web, bandeau intégrant un vecteur d’attaque cherchant à exploiter les failles Adobe Reader et DirectShow sur les machines des internautes-visiteurs. Des failles effectivement corrigées, mais dont le correctif n’est pas toujours déployé.
3) Tiens, un banquier... zut, un abus de pouvoir
Un fait-divers révélateur sur les vieilles pratiques de sécurité par obscurantisme qui frappe encore les officines bancaires états-uniennes, à la source deux papiers, l’un publié par Wired, l’autre par MediaPost.
Un employé de la Rocky Mountain Bank of Wyoming aurait, par erreur, expédié sur une adresse Gmail une liste de plus de 1300 noms de clients et données sensibles. Après s’être aperçu de sa malheureuse distraction, l’employé gaffeur a demandé à son correspondant de bien vouloir effacer le courriel en question « immédiatement et sans l’avoir lu au préalable » (sic). Ce qui implique donc que la Rocky Mountain Bank of Wyoming soit expédie ses courriels sous enveloppe légèrement transparente, soit possède un double service de correspondance client-établissement, l’un destiné à l’expédition du contenu, utilisant les voies parfois impénétrables du routage smtp, l’autre, purement psychique et très probablement télépathique, qui servira à indiquer aux destinataires les emails qui, au sein de leur boîte de réception, sont à lire ou à ignorer. Devant une telle technologie, même les plus perfectionnés des algorithmes bayesiens peuvent aller se rhabiller.
Obéissant probablement à cette injonction par transmission de pensée, le propriétaire du compte n’a semble-t-il ouvert ni l’un ni l’autre (probablement assailli par un doute) et n’a donc pu répondre ni au premier, ni au second.
Devant un tel mutisme, le service juridique ou informatique bancaire tente donc de savoir si le compte Gmail est actif ou non. Ce à quoi les princes de la Recherche Web et empereurs de l’email cloudifié répondent que non, sans décision d’un juge, ce genre d’information ne serait pas divulgué. Un détail qui ne dérange guère les Beurriers du Wyoming, qui se font fort de dénicher un juge assez complaisant non seulement pour désactiver (temporairement est-il précisé) le compte en question, mais en plus pour adresser à Google une injonction visant à rendre publique l’identité du possesseur du compte.
Si nos confrères de Wired et de Mediapost s’émeuvent de cette décision, qui montre à quel point la justice américaine est prompte à servir sans hésiter les intérêts des banques, personne, en revanche, ne s’étonne du fait que le contenu en question n’aie pas été chiffré à la source ou que les cotes d’alertes des outils de DLP – dont ne saurait se passer un organisme financier - n’aient pas une seule fois crié « au loup ». Un juge serait-il, de l’autre côté de l’Atlantique, moins cher qu’une remise à niveau des défenses périmétriques ? En France, bien entendu, ce genre de mésaventure n’arrive jamais…