Comment les pirates utilisent les applications "pro" des salariés pour voler les données des entreprises

Elles font désormais partie du quotidien des salariés. Les applications hébergées dans le cloud sont aujourd'hui massivement utilisées dans les entreprises: messageries (comme Gmail), outils bureautiques (comme Office 365), de stockage (Drive...) ou collaboratifs (Slack, Teams...), progiciels (paie, gestion, métiers...) etc...

Ainsi, selon une étude mondiale de Netskope, un acteur de la sécurité, qui a interrogé 427 RSSI (responsable sécurité informatique) ou assimilés en février dernier, 89% des salariés utilisent au moins une fois par jour une application hébergée en ligne. Et dans les entreprises audités, 142 applications dans le cloud sont utilisées en moyenne. En tête du podium, Google Drive devant YouTube, Office 365, Facebook, Gmail. 

44% des menaces sont liées aux applications cloud

Cette tendance n'a pas échappé aux pirates. Toujours selon Netskope, aujourd'hui, 44% des menaces sont liées à ces applications. Et les outils les plus visés sont Office 365 de Microsoft, Box, Google Drive et Microsoft Azure.

Les directions informatiques tentent d'adapter la sécurité des systèmes d'information à travers ce prisme. Mais il y a de nombreux trous dans la raquette et les pirates en profitent pour placer leurs attaques.

Il y a d'abord les applications cloud utilisées en dehors du cadre fixé par la DSI (direction informatique) donc théoriquement non autorisées pour travailler mais aussi pour se divertir.

Certaines de ces applications peuvent contenir des malwares qui s'installent silencieusement et vont ensuite aller à la pêche aux données. Une des solutions est de mettre en place des listes noires qui interdisent l'accès à des applications depuis le réseau de l'entreprise ou "donner des notes aux applications" pour alerter le salarié, avance Frédéric Saulet, directeur régional pour Netskope.

Leurrer l'utilisateur

"Il y a un gouffre entre les applications managées (celles qui sont autorisées et contrôlées par l'entreprise, NDLR) et les applications utilisées par les salariés", commente l'expert. "On dénombre en moyenne 2400 applications cloud non managées utilisées dans les entreprises".

Les pirates s'appuient également sur les applications cloud autorisées pour leurrer l'utilisateur à travers notamment des attaques de phishing (email non légitime qui incite le salarié à cliquer sur un lien pour ouvrir ou télécharger le document d'un collègue qui s'est lui même fait piéger). "Il ne s'agit pas de failles mais bien de techniques pour usurper l'identité d'un utilisateur et voler des données", souligne le responsable.

Ou encore la mauvaise utilisation d'applications autorisées notamment dans le transfert de données sensibles entre applications (entre Teams et WeTransfer par exemple). Le principal risque "c'est de voir des données sortir de l'entreprise sans contrôle", ajoute l'expert.

Le télétravail, un risque supplémentaire pour l'entreprise

Si le maillon faible reste le salarié, c'est bien l'applicatif qui est exploité. Or, "les infrastructures de sécurité des entreprises n'ont pas été construites pour le cloud. Les langages informatiques ont changé, on ne peut plus traiter la sécurité informatique de la même façon", ajoute Frédéric Saulet.

Et l'usage de plus en plus important du télétravail devrait accentuer ce risque "avec des directions informatiques qui ont encore moins le contrôle sur les accès déportés et des VPN mal dimensionnés". 

Ainsi, selon une étude de Citrix, un salarié français en télétravail sur trois pendant le confinement déclare avoir utilisé des applications, logiciels ou appareils qui n’ont pas été officiellement approuvés par leur service informatique ou par leur direction, ou qui ont été explicitement interdits. Une aubaine pour les pirates.