{"id":15183,"date":"2020-07-01T13:06:22","date_gmt":"2020-07-01T13:06:22","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15183"},"modified":"2020-07-03T10:51:52","modified_gmt":"2020-07-03T10:51:52","slug":"unusual-ways-to-leak-info","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/unusual-ways-to-leak-info\/15183\/","title":{"rendered":"4 fa\u00e7ons de r\u00e9v\u00e9ler de fa\u00e7on grandiose les donn\u00e9es de votre entreprise"},"content":{"rendered":"

Si vous publiez des photos des entr\u00e9es d\u2019un concert sur Instagram sans cacher le code-barres, quelqu\u2019un pourrait voir votre groupe pr\u00e9f\u00e9r\u00e9 \u00e0 votre place<\/a>. Cela peut aussi arriver si vous occultez le code-barres mais n\u2019utilisez pas le bon outil pour le faire<\/a>.<\/p>\n

Cela \u00e9tant dit, n\u2019oubliez pas qu\u2019il est assez facile de dissimuler correctement le code-barres avant de vous vanter d\u2019avoir un billet. C\u2019est une autre histoire si vous publiez une photo en ligne sans vous rendre compte qu\u2019il y a un billet ou un post-it avec des mots de passe. Voici quelques cas de personnes qui ont publi\u00e9 des donn\u00e9es confidentielles en ligne sans le savoir.<\/p>\n

1. Publications de photos avec des mots de passe en toile de fond<\/h2>\n

Les photos et vid\u00e9os faites au sein de l\u2019entreprise, ou d\u2019autres installations, r\u00e9v\u00e8lent plus souvent qu\u2019on ne le pense des mots de passe et autres secrets. Lorsqu\u2019ils prennent leurs coll\u00e8gues en photo, peu de gens font attention \u00e0 ce qui se voit en arri\u00e8re-plan et le r\u00e9sultat peut \u00eatre embarrassant, voire dangereux.<\/p>\n\n

Erreur des renseignements militaires<\/h3>\n

En 2012, la British Royal Air Force a mis les pieds dans le plat<\/a>, vraiment. Dans un reportage photo sur le prince William, qui faisait son service militaire dans une section de l\u2019arm\u00e9e de l\u2019air britannique, les identifiants de connexion au syst\u00e8me MilFLI (military flight information publications) ont \u00e9t\u00e9 divulgu\u00e9s. Il s\u2019agit d\u2019un identifiant et de son mot de passe qui apparaissent sur un papier affich\u00e9 sur le mur derri\u00e8re le duc de Cambridge.<\/p>\n

Peu de temps apr\u00e8s avoir \u00e9t\u00e9 publi\u00e9es sur le site officiel de la famille royale, les images ont \u00e9t\u00e9 remplac\u00e9es par des versions retouch\u00e9es et les identifiants compromis ont \u00e9t\u00e9 modifi\u00e9s. Nous ne savons pas s\u2019ils ont \u00e0 nouveau \u00e9t\u00e9 affich\u00e9s sur le mur.<\/p>\n

\"Identifiants

Identifiants de connexion au syst\u00e8me MilFLIP comme d\u00e9coration d\u2019int\u00e9rieur. Source<\/a><\/p><\/div>\n

L\u2019incident avec le prince William est loin d\u2019\u00eatre isol\u00e9. Des militaires moins connus ont aussi partag\u00e9 des secrets en ligne, avec ou sans l\u2019aide de la presse. Par exemple, un officier a publi\u00e9 un selfie sur les r\u00e9seaux sociaux<\/a> avec des informations confidentielles en arri\u00e8re-plan. Le soldat s\u2019en est bien sorti puisqu\u2019il n\u2019a eu qu\u2019une \u00ab\u00a0r\u00e9\u00e9ducation et une formation\u00a0\u00bb.<\/p>\n

Fuite en direct<\/h3>\n

En 2015, la cha\u00eene de t\u00e9l\u00e9vision fran\u00e7aise TV5Monde a \u00e9t\u00e9 victime d\u2019une attaque informatique. Des personnes non identifi\u00e9es ont pirat\u00e9 et d\u00e9grad\u00e9 le site Internet de la cha\u00eene et sa page Facebook<\/a>, puis ont interrompu l\u2019\u00e9mission des programmes pendant plusieurs heures.<\/p>\n

Les \u00e9v\u00e9nements ult\u00e9rieurs ont fait que cette histoire a tourn\u00e9 au ridicule. Un employ\u00e9 de TV5Monde a donn\u00e9 une interview au sujet de l\u2019attaque, et l\u2019on pouvait voir en arri\u00e8re-plan<\/a> les mots de passe de l\u2019entreprise permettant de se connecter aux r\u00e9seaux sociaux. Il est difficile de lire le texte mais les passionn\u00e9s ont pu obtenir le mot de passe de la cha\u00eene YouTube de TV5Monde.<\/p>\n

Il s\u2019av\u00e8re, par pur hasard, que cet incident permet d\u2019expliquer ce qu\u2019il ne faut pas faire lorsque l\u2019on cr\u00e9e un mot de passe : la r\u00e9ponse \u00e0 la question secr\u00e8te n\u2019\u00e9tait autre que \u00ab\u00a0lemotdepassedeyoutube\u00a0\u00bb. Heureusement, le cha\u00eene YouTube et les autres comptes de l\u2019entreprise ont \u00e9t\u00e9 \u00e9pargn\u00e9s. Pourtant, cette toile de fond avec les mots de passe donne mati\u00e8re \u00e0 r\u00e9flexion quant \u00e0 l\u2019attaque informatique initiale.<\/p>\n

\"Un

Un employ\u00e9 de TV5Monde fait une interview avec des mots de passe en arri\u00e8re-plan. Source<\/a><\/p><\/div>\n

Un incident similaire a eu lieu juste avant la Super Bowl XLVIII, en 2014, lorsqu\u2019un cam\u00e9raman a film\u00e9 sans le vouloir les identifiants de connexion au Wi-Fi interne du stade<\/a>. Le plus ironique de ce pr\u00e9judice est que les images venaient du centre de commande responsable de la s\u00e9curit\u00e9 de l\u2019\u00e9v\u00e9nement.<\/p>\n

\"Identifiants

Identifiants de connexion au Wi-Fi affich\u00e9s sur un des \u00e9crans du centre de commande du stade. Source<\/a><\/p><\/div>\n

2. Utilisation des trackers de fitness<\/h2>\n

Les dispositifs que vous utilisez pour surveiller votre sant\u00e9 peuvent parfaitement permettre \u00e0 une autre personne de vous<\/em> surveiller<\/a> voire d\u2019obtenir certaines donn\u00e9es confidentielles<\/a>, comme le code PIN de votre carte bleue gr\u00e2ce au mouvement de votre main lorsque vous le saisissez. Il est vrai que ce dernier exemple semble peu r\u00e9aliste.<\/p>\n

Malheureusement, les fuites de donn\u00e9es relatives \u00e0 l\u2019emplacement d\u2019installations militaires secr\u00e8tes sont bel et bien vraies. Par exemple, l\u2019application de fitness Strava, qui compte plus de 10 millions d\u2019utilisateurs, trace l\u2019itin\u00e9raire du coureur sur une carte publique<\/a>. Elle a \u00e9galement r\u00e9v\u00e9l\u00e9 certaines bases militaires<\/a>.<\/p>\n

M\u00eame si l\u2019application peut \u00eatre configur\u00e9e pour \u00e9viter que les curieux ne puissent voir les itin\u00e9raires, il semblerait que quelques d\u00e9tails techniques \u00e9chappent \u00e0 certains utilisateurs en uniforme.<\/p>\n

\"Mouvements

Mouvements de soldats au sein d\u2019une base militaire am\u00e9ricaine en Afghanistan r\u00e9v\u00e9l\u00e9s par la carte thermique (heatmap) de Strava. Source<\/a><\/p><\/div>\n

Lorsque le Pentagone a fait r\u00e9f\u00e9rence aux risques de ces fuites en 2018, il a tout simplement interdit aux soldats am\u00e9ricains<\/a> d\u2019utiliser les trackers de fitness. Il est vrai que pour ceux qui ne passent g\u00e9n\u00e9ralement pas leurs journ\u00e9es dans des bases militaires am\u00e9ricaines cette solution peut sembler excessive. Nous vous conseillons malgr\u00e9 tout de prendre le temps de bien configurer les param\u00e8tres de confidentialit\u00e9 de votre application de fitness.<\/p>\n

3. Diffusion de m\u00e9tadonn\u00e9es<\/h2>\n

Il est tr\u00e8s facile d\u2019oublier (ou de ne pas le savoir d\u00e8s le d\u00e9but) que les informations relatives aux fichiers, ou les m\u00e9tadonn\u00e9es<\/a>, peuvent cacher certains secrets. Les photos peuvent notamment contenir les coordonn\u00e9es<\/a> de l\u2019endroit o\u00f9 elles ont \u00e9t\u00e9 prises.<\/p>\n

En 2007, des soldats am\u00e9ricains (il semblerait qu\u2019une tendance se dessine) ont publi\u00e9 des photos en ligne d\u2019h\u00e9licopt\u00e8res<\/a> qui se posaient sur une base en Irak. Les m\u00e9tadonn\u00e9es des images contenaient les coordonn\u00e9es exactes de leur position. Selon une des versions de cet incident, les informations ont ensuite \u00e9t\u00e9 utilis\u00e9es par l\u2019ennemi pour mener une attaque qui a co\u00fbt\u00e9 quatre h\u00e9licopt\u00e8res aux \u00c9tats-Unis.<\/p>\n

4. Partage excessif sur les r\u00e9seaux sociaux<\/h2>\n

Vous pouvez conna\u00eetre certains secrets tout simplement \u00e0 travers les amis d\u2019une personne. Par exemple, si les vendeurs d\u2019une r\u00e9gion en particulier commencent \u00e0 appara\u00eetre<\/a> dans la liste d\u2019amis d\u2019un chef d\u2019entreprise, la concurrence pourrait en conclure que l\u2019entreprise cherche de nouveaux march\u00e9s et essayer de lui couper l\u2019herbe sous le pied.<\/p>\n

En 2011, la journaliste Charon Machlis de Computerworld<\/em> a r\u00e9alis\u00e9 une \u00e9tude<\/a> et a cherch\u00e9 \u00e0 obtenir des informations \u00e0 partir de LinkedIn. En seulement 20 minutes, elle a trouv\u00e9 le nombre de mod\u00e9rateurs des forums en ligne d\u2019Apple, l\u2019organisation de l\u2019infrastructure des ressources humaines de l\u2019entreprise, etc.<\/p>\n

Elle reconna\u00eet qu\u2019elle n\u2019a pas d\u00e9couvert de secret industriel mais Apple se vante de prendre la protection de la vie priv\u00e9e plus au s\u00e9rieux que n\u2019importe quelle autre entreprise. Pendant ce temps, \u00e0 partir de la description des responsabilit\u00e9s professionnelles du vice-pr\u00e9sident de HP, l\u00e0 encore affich\u00e9es sur LinkedIn, tout le monde a pu d\u00e9couvrir<\/a> quels services Cloud l\u2019entreprise utilise.<\/p>\n

Comment \u00e9viter de divulguer accidentellement certaines donn\u00e9es<\/h2>\n

Les employ\u00e9s peuvent involontairement partager beaucoup de renseignements sur votre entreprise. Pour \u00e9viter que vos secrets ne soient rendus publics, mettez en place des r\u00e8gles strictes quant \u00e0 la publication d\u2019informations en ligne et informez tout votre personnel\u00a0:<\/p>\n