{"id":16830,"date":"2021-04-23T13:47:50","date_gmt":"2021-04-23T11:47:50","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16830"},"modified":"2021-04-23T13:47:50","modified_gmt":"2021-04-23T11:47:50","slug":"trello-data-leaks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/trello-data-leaks\/16830\/","title":{"rendered":"Trello : fuite de donn\u00e9es"},"content":{"rendered":"

Selon les m\u00e9dias<\/a>, des donn\u00e9es d\u2019utilisateurs de centaines de grandes entreprises et de milliers de PME ont fuit\u00e9 de Trello. Il ne s\u2019agissait pas d\u2019une fuite de donn\u00e9es \u00e0 proprement parler\u00a0: les entreprises utilisent Trello depuis des ann\u00e9es et n\u2019ont pas pris la peine de configurer correctement les param\u00e8tres de s\u00e9curit\u00e9. Tout ce remue-m\u00e9nage est d\u00fb \u00e0 quelques chercheurs qui ont rendu ces informations publiques.<\/p>\n

\u00c0 vrai dire, l\u2019histoire d\u2019une entreprise stockant aux yeux de tous des donn\u00e9es sensibles sur Trello fait la une tous les deux ans. Le chercheur Kushagra Pathak a tent\u00e9 d\u2019attirer l\u2019attention sur ce sujet<\/a> en publiant un article sur Medium il y a trois ans. Malheureusement, ces avertissements n\u2019ont g\u00e9n\u00e9ralement que peu d\u2019effet.<\/p>\n

Ce qui a fuit\u00e9 et pourquoi<\/h2>\n

Les membres de Trello utilisent des tableaux pour collaborer sur des projets. Le tableau est priv\u00e9 par d\u00e9faut (personne en dehors de l\u2019\u00e9quipe ne peut le voir), mais quand les utilisateurs doivent le montrer \u00e0 une personne ext\u00e9rieure \u00e0 l\u2019\u00e9quipe, ils le mettent en mode Public<\/em>. \u00c0 ce moment-l\u00e0, n\u2019importe quel utilisateur peut consulter le tableau avec un lien direct, et les moteurs de recherche peuvent indexer les informations qu\u2019il contient. L\u2019acc\u00e8s \u00e0 chaque tableau est param\u00e9tr\u00e9 s\u00e9par\u00e9ment.<\/p>\n

Une requ\u00eate de recherche bien men\u00e9e peut r\u00e9v\u00e9ler les tableaux publics de nombreuses entreprises. On y trouve des informations d\u2019identification de sites Web, des scans de documents ou encore des conversations confidentielles professionnelles\u00a0; ce sont ces renseignements que de nombreux chercheurs ont trouv\u00e9s et publi\u00e9s.<\/p>\n

Un acc\u00e8s non autoris\u00e9 \u00e0 votre espace de travail Trello peut avoir des cons\u00e9quences, m\u00eame si vous n\u2019y stockez pas de documents confidentiels ou des mots de passe. Les pirates informatiques peuvent utiliser ces donn\u00e9es pour rendre leurs attaques d\u2019ing\u00e9nierie sociale plus convaincantes, par exemple en entamant une conversation avec un employ\u00e9 et en mentionnant des informations sur des projets en cours pour qu\u2019il baisse la garde.<\/p>\n

Param\u00e9trer Trello pour garder les donn\u00e9es priv\u00e9es<\/h2>\n

En ne changeant que deux param\u00e8tres, vous pouvez emp\u00eacher les moteurs de recherche d\u2019indexer les donn\u00e9es de votre espace de travail Trello. La visibilit\u00e9 d\u2019un espace de travail est secondaire, mais celle de chaque tableau est primordiale.<\/p>\n

Les espaces de travail ont deux param\u00e8tres de confidentialit\u00e9\u00a0: priv\u00e9 et public. Le choix ne fait aucun doute.<\/p>\n

\"\"<\/p>\n

Les tableaux, quant \u00e0 eux, poss\u00e8dent plus d\u2019options\u00a0: Priv\u00e9<\/em> (uniquement les membres ajout\u00e9s dans le tableau peuvent y avoir acc\u00e8s), Visible par les membres d\u2019une \u00e9quipe<\/em> (tous les membres d\u2019une \u00e9quipe y ont acc\u00e8s), Entreprise<\/em> (tous les employ\u00e9s y ont acc\u00e8s \u2013 uniquement pour les comptes professionnels), et Public<\/em> (tout le monde y a acc\u00e8s). L\u2019interface actuelle de Trello propose une description assez pr\u00e9cise des options de confidentialit\u00e9 et laisse entendre que les moteurs de recherche Web n\u2019ont acc\u00e8s qu\u2019aux tableaux mis en Public<\/em>, donc n\u2019importe quelle autre option sauf cette derni\u00e8re aurait emp\u00each\u00e9 cette soi-disant fuite d\u2019arriver.<\/p>\n

\"\"<\/p>\n

Nous pensons que seul un certain nombre d\u2019employ\u00e9s devrait avoir acc\u00e8s aux donn\u00e9es professionnelles, et par cons\u00e9quent, l\u2019option de confidentialit\u00e9 Priv\u00e9<\/em> est la meilleure. Cela demande en effet un peu plus de travail car quelqu\u2019un devra surveiller qui a acc\u00e8s \u00e0 chaque tableau, mais cela aidera \u00e0 prot\u00e9ger les informations.<\/p>\n

Collaborer en toute s\u00e9curit\u00e9<\/h2>\n

Param\u00e9trer correctement la confidentialit\u00e9 de votre tableau Trello emp\u00eachera la divulgation de vos donn\u00e9es. Voici d\u2019autres mesures de s\u00e9curit\u00e9 \u00e0 \u00e9galement prendre en compte\u00a0:<\/p>\n