Combien d’applications avez-vous installé sur vos appareils ? Nous utilisons aujourd’hui des applications pour quasiment tout faire, aussi bien pour communiquer avec les autres que pour rédiger nos listes de courses. Certaines d’entre elles peuvent cependant représenter un danger insoupçonné pour la sécurité (et la confidentialité) de vos données. Avec Daniel Chromek, Chief Information Security Officer chez ESET, nous avons discuté des différentes façons dont les gens mettent couramment leurs données en danger par l’utilisation d’applications.
Quels types de données doivent être protégés ?
Nous gérons quotidiennement nos propres données personnelles, mais également les informations numériques de nos employeurs, nos employés, nos collègues et nos clients. Si les données publiques peuvent être facilement accessibles à toute personne qui les recherche, de nombreux types d’informations numériques doivent être manipulés et protégés avec soin. Ce sont :
Les données internes – par exemple des communications internes
Les données confidentielles – par exemple des numéros d’identification
Les données restreintes – par exemple des données protégées par le gouvernement
Comprendre les différences entre les données publiques et les données sensibles peut vous aider à éviter de mettre en péril des informations numériques qui doivent rester privées. L’état des données peut également changer pour des raisons personnelles, professionnelles, voire politiques. Ne manipulez donc jamais d’informations numériques sans précaution.
Roe v. Wade : lorsque la sensibilité des données augmente de manière inattendue À la question de savoir s’il peut citer un exemple de personnes qui ne réalisent pas qu’elles peuvent partager des données très sensibles, M. Chromek mentionne la situation aux États-Unis après la décision récente concernant l’arrêt Roe v. Wade. Lorsque les avortements sont devenus potentiellement illégaux dans plusieurs États américains, les femmes ont été mises en garde contre l’utilisation d’applications de suivi des règles pour documenter leurs cycles menstruels ou leur vie sexuelle. Selon plusieurs sources, ces applications pourraient désormais être exploitées contre leurs utilisatrices si la police y accédait pour découvrir d’éventuels avortements illégaux. Comme l’explique le Washington Post, « Dans une affaire d’avortement criminel, une adresse IP serait pertinente, car avec l’aide des fournisseurs d’accès à Internet, la police peut remonter jusqu’aux individus. » Dans ce cas, des données telles que les adresses IP qui étaient auparavant partagées sans inquiétude, sont rapidement devenues sensibles. |
Les applications les plus utilisées et leurs risques
De nombreuses personnes ne lisent pas les conditions générales, même s’il est fortement recommandé de le faire avant d’utiliser une nouvelle application ou de s’inscrire à un nouveau service. C’est particulièrement vrai si vous prévoyez d’utiliser l’application pour traiter non seulement vos informations personnelles mais également des documents professionnels. De nombreuses applications sont si couramment utilisées que nous ne réfléchissons pas forcément à leur impact sur la sécurité numérique. Examinons quelques-unes des applications qui peuvent potentiellement mettre en péril la sécurité de vos données.
1) Applications gratuites de traduction
Les applications de traduction doivent souvent traiter une grande quantité d’informations pour les transformer en un texte final traduit. « La traduction d’un mot spécifique n’est pas un problème, mais le problème s’amplifie avec des paragraphes et des documents entiers. Lorsqu’un juriste saisit par exemple le contenu d’un contrat sensible dans une application de traduction non sécurisée, les conséquences potentielles sont graves : violation de données au sens du RGPD, divulgation d’informations d’entreprise très sensibles, et ainsi de suite, » explique M. Chromek. Faites attention au type de données que vous saisissez dans les applications de traduction, et soyez particulièrement prudent avec les applications gratuites sans licence.
« Si l’application est gratuite, vous êtes le produit. Les entreprises qui offrent des services gratuits doivent payer leurs factures d’une manière ou d’une autre, et l’un des moyens possibles de se procurer de l’argent est de vendre vos données. »
Daniel Chromek, Chief Information Security Officer chez ESET
2) Applications de changement de format
Avez-vous déjà eu besoin de compresser rapidement un document pour qu’il tienne dans un e-mail ? Ou changer son format, par exemple en PDF ? L’un des moyens les plus courants consiste à utiliser un outil de conversion en ligne ou une application de changement de format. « Tout ce qui a été dit sur les applications de traduction s’applique également aux applications de changement de format, » poursuit M. Chromek. Ces services doivent traiter des données potentiellement sensibles dans les documents téléchargés. Il faut donc toujours veiller à n’utiliser que des applications préapprouvées.
3) Agendas partagés
“Les agendas partagés comprennent souvent des listes de contacts. Pour partager votre agenda avec quelqu’un, vous avez besoin au moins de son adresse email. Ainsi, à moins qu’elles ne soient suffisamment sécurisées, ces applications peuvent représenter un problème au regard du RGPD,” note M. Chromek. Certains agendas partagés peuvent par ailleurs être assez déroutants pour leurs utilisateurs, qui ne savent pas toujours quelles données sont partagées avec qui : ont-ils partagé leur agenda uniquement avec les personnes auxquelles ils avaient l’intention de l’envoyer, comme leurs collègues de travail, ou ont-ils rendu leur agenda visible à toute personne étrangère.
4) Applications de prise de notes et de carnets
Avec ces applications, cela dépend surtout de l’usage que vous voulez en faire. Si vous utilisez des applications de prise de notes uniquement pour créer des listes de courses, le danger n’est pas aussi grand que si vous les utilisez pour prendre des notes lors de vos réunions professionnelles, ou encore pour mémoriser vos mots de passe (pour lesquels vous devriez toujours utiliser un gestionnaire de mots de passe, et non une autre application). « Il faut également noter que ces applications permettent souvent d’ajouter des photos, des vidéos ou des enregistrements vocaux à vos notes, ce qui constitue une autre possibilité de fuite de données, » ajoute M. Chromek.
5) Applications publiques de partage de fichiers
Outre l’accès potentiel à des informations sensibles, la plupart des applications publiques de partage de fichiers fonctionnent dans le Cloud. Lorsque le prestataire de services Cloud ou votre compte est compromis, il existe un risque de fuite de données. Certaines applications de partage de fichiers peuvent être combinées à des solutions de chiffrement transparent des données, ce qui est recommandé pour renforcer la sécurité de vos données.
6) Applications de messagerie
Les applications de messagerie intègrent souvent un large éventail de fonctionnalités : partage de fichiers, appels téléphoniques, appels vidéo, envoi de messages texte, enregistrements vocaux, etc. Par conséquent, elles nécessitent de nombreuses autorisations sur votre appareil mobile, notamment l’accès à la caméra, au microphone ou aux données stockées. Certaines applications de messagerie ne chiffrant pas les informations qu’elles recueillent, si elles sont piratées, les attaquants ont ainsi facilement accès à toutes les données recueillies, y compris les informations sensibles. Et M. Chromek d’ajouter : « Le type de sécurité offert par ces applications en termes de chiffrement varie également. La plupart des applications de messagerie chiffrent les données au cours d’un transfert via Internet (données en mouvement), tandis que certaines offrent une sécurité supplémentaire en utilisant le chiffrement de bout en bout, ce qui signifie que même le fournisseur de l’application ne peut pas déchiffrer les messages ; seules les parties communicantes le peuvent. »
7) Applications d’accès à distance
Vous avez besoin de surveiller votre chien pendant que vous êtes au travail ? Ou vous souhaitez mettre en marche le chauffage avant d’arriver chez vous ? Les applications d’accès à distance vous permettent de le faire. Elles fonctionnent cependant dans le sens inverse et vous ne savez jamais qui dirige qui. « Les services d’accès à distance peuvent devenir un portail permettant à des agents externes de pénétrer dans votre appareil, de le contrôler et de voler les données qui y sont stockées, » avertit M. Chromek.
La plupart des applications susmentionnées comportent certains de ces risques. Tout d’abord, le Cloud qu’ils utilisent pour le stockage des données peut ne pas être sécurisé. Avec le stockage des données personnelles, ces services Cloud deviennent soudainement non seulement des fournisseurs mais également des entités de traitement des données au sens du RGPD. Il ne faut pas oublier non plus que certaines applications reposent sur des services externes et qu’il y a donc toujours un risque de défaillance de ce côté. Enfin, pour rester fonctionnelles, les applications ont besoin d’être financées. Les applications gratuites n’ont qu’un choix limité pour financer leur activité : par des publicités, des dons, l’utilisation des données à des fins commerciales, ou la vente de vos données à d’autres services. Cela ne se produit que si vous l’acceptez ; le partage des données est généralement mentionné dans les conditions générales que beaucoup de gens omettent de lire.
Conditions d’utilisation que personne ne lit Ce site web (et son plugin pour navigateur) classe les conditions générales de différentes applications de A à F. Il n’offre peut-être pas de visibilité complète sur la sécurité d’une application, mais peut permettre à ses utilisateurs de se faire une meilleure idée de ce qu’ils peuvent en attendre en matière de sécurité. |
Consultez toujours vos spécialistes de l’informatique ou de la sécurité
En conclusion, les applications peuvent être utiles dans notre vie quotidienne et professionnelle, mais elles comportent toutes leurs propres risques. Si vous n’avez pas de connaissances en informatique, vous ne serez peut-être pas en mesure de reconnaître pleinement la gravité de leurs dangers potentiels. Il est donc toujours recommandé de contacter votre équipe informatique et/ou votre équipe de sécurité pour toute nouvelle application que vous avez l’intention d’utiliser. Cela concerne les applications que vous comptez exploiter pour des raisons professionnelles, mais également les services utilisés juste pour le plaisir ou la détente, mais qui seront stockés sur le même appareil que vos fichiers professionnels.
Votre équipe informatique devrait pouvoir déterminer si une application peut être considérée comme sûre dans votre entreprise, ou vous aider à trouver une option plus sécurisée.