Beaucoup d’entreprises, notamment les petites, n’ont pas de systèmes spécialisés comme Slack ou Microsoft Teams pour que les employés communiquent entre eux, et utilisent des services de messagerie instantanée ordinaires comme WhatsApp, Telegram et Signal. Alors que les gens préfèrent généralement la version mobile pour une utilisation personnelle, lorsqu’il s’agit de leur travail, ils optent plutôt pour l’installation de l’application de bureau sans vraiment se demander à quel point cette version est sécurisée.
Dans cet article que nous avons récemment publié sur les vulnérabilités détectées dans la version de bureau de Signal, nous avons dit que « la meilleure chose à faire est de ne pas utiliser la version de bureau de Signal (et les versions de bureau des messageries instantanées en général). » Étant donné que les raisons à l’origine de cette déclaration ne sont pas toujours évidentes, nous souhaitons expliquer plus en détail les failles des versions de bureau des messageries instantanées en termes de cybersécurité.
Il convient de souligner que nous allons parler des versions de bureau des services « civils » de messagerie instantanée (comme Telegram, WhatsApp ou Signal) et non des plateformes professionnelles comme Slack ou Microsoft Teams, qui ont été adaptées aux processus de travail et fonctionnent de façon légèrement différente. C’est pourquoi nous n’allons pas en parler dans cet article.
1. Une application en apparence, un navigateur à l’intérieur
Un des points les plus importants à comprendre à propos de la version de bureau des services de messagerie instantanée est que la plupart repose sur l’environnement Electron. Cela signifie fondamentalement qu’un programme de ce genre est à l’intérieur une application Web qui s’ouvre dans un navigateur Chromium intégré.
C’est principalement pour cette raison qu’Electron est si populaire auprès des développeurs des versions de bureau des messageries instantanées : l’environnement permet de créer rapidement et facilement des applications compatibles avec tous les systèmes d’exploitation. En revanche, cela signifie aussi que les programmes basés sur Electron héritent automatiquement de toutes les vulnérabilités.
D’autre part, il faut comprendre qu’à cause de cette incroyable popularité, Chrome et Chromium sont toujours sous le feu des projecteurs. Les cybercriminels découvrent régulièrement de nouvelles vulnérabilités et créent rapidement des exploits avec des descriptions détaillées qui expliquent comment les exploiter. Dans le cas du navigateur normal et autonome Chrome, ce n’est pas vraiment un problème : Google réagit très rapidement aux informations à propos de vulnérabilités et publient régulièrement des patchs. Il vous suffit d’installer dès que possible les mises à jour pour garantir votre sécurité. Quant aux programmes basés sur Electron, le navigateur intégré n’est mis à jour que quand les développeurs sortent une nouvelle version de l’application.
Qu’avons-nous finalement ? Si vos employés utilisent des applications basées sur Electron, cela signifie qu’il y a plusieurs navigateurs, pour lesquels des exploits apparaissent régulièrement, qui s’exécutent sur les systèmes. De plus, ni vous ni eux ne peuvent contrôler les mises à jour de ces navigateurs. Plus vos employés utilisent des applications de ce genre, plus il y a de risques. Il serait judicieux d’au moins limiter le nombreux d’applications « civiles » de messagerie instantanée utilisées à des fins professionnelles au sein de l’entreprise.
2. La question clé
L’utilisation du chiffrement de bout en bout est une des plus grandes réussites des services actuels de messagerie instantanée. Autrement dit, le message ne peut être déchiffré qu’avec les clés privées des participants à la conversation, qui ne sortent jamais les dispositifs. Tant que personne d’autre ne connaît les clés de chiffrement, les messages sont bien protégés. Si un cybercriminel arrive à obtenir la clé privée, il pourra lire les messages et se faire passer pour un des participants à la conversation.
Il s’agit là du problème que nous rencontrons avec la version de bureau des messageries instantanées : les applications conservent les clés de chiffrement sur le disque dur, ce qui signifie qu’elles peuvent facilement être dérobées. Il est vrai que le cybercriminel doit d’abord accéder au système d’une façon ou d’une autre, par exemple à l’aide d’un programme malveillant, ce qui est parfaitement possible dans le cas des systèmes d’exploitation des ordinateurs de bureau. Quant aux dispositifs mobiles, leurs éléments architecturaux rendent le vol des clés de chiffrement beaucoup plus complexe, surtout si l’attaque se fait à distance.
Autrement dit, l’utilisation de la version de bureau des services de messagerie instantanée augmente automatiquement et de façon significative le risque de vol de la clé de chiffrement et donc des conversations.
3. Un RAT dans le chat
Imaginons que tout se passe bien et que personne n’a pu obtenir (du moins pour le moment) la clé de chiffrement de vos employés : cela signifie que toutes les conversations professionnelles sont saines et sauves, n’est-ce pas ? Pas vraiment. Les cybercriminels pourraient utiliser des outils d’administration à distance ainsi que des chevaux de Troie d’accès à distance (RAT étant l’acronyme de ces deux programmes) pour mettre la main sur les échanges professionnels. La différence entre ces deux programmes est principalement symbolique : les outils légitimes et les chevaux de Troie illégaux peuvent être utilisés pour effectuer plusieurs choses intéressantes sur l’ordinateur.
Les RAT sont les menaces face auxquelles les fabricants de la version de bureau des messageries instantanées sont presque sans défense, contrairement à la version mobile. Ces programmes permettent aux cybercriminels sans expérience d’obtenir le contenu d’une conversation secrète. Lorsque la version de bureau d’un service de messagerie instantanée s’exécute, toutes les conversations sont automatiquement déchiffrées et les cybercriminels n’ont même pas besoin de voler les clés privées. N’importe quelle personne ayant un accès à distance au bureau peut lire vos conversations, même si vous utilisez la messagerie la plus sécurisée au monde. L’escroc peut lire les messages mais aussi en envoyer en se faisant passer pour l’employé de l’entreprise.
De plus, les outils d’administration à distance sont des programmes parfaitement légitimes, avec toutes les conséquences qui en découlent. Tout d’abord, contrairement au programme malveillant qui doit être téléchargé dans un coin obscur d’Internet, ces outils sont faciles à trouver et peuvent être télécharges en ligne sans problème. Ensuite, certaines solutions de sécurité n’avertissent pas l’utilisateur si un outil d’accès à distance a été installé sur l’ordinateur.
4. Qu’est-ce que ce fichier ?
Voici une autre raison de ne pas utiliser la version de bureau des célèbres services de messagerie instantanée : ils pourraient être utilisés comme un autre canal incontrôlé pour installer des fichiers malveillants dans les ordinateurs des employés. Il est vrai que vous pouvez en attraper un n’importe où. Lorsqu’il s’agit des pièces jointes des e-mail ou encore des fichiers téléchargés sur Internet, la plupart des gens connaissent les dangers. En revanche, si ce sont des fichiers reçus par messagerie instantanée, notamment un service considéré comme sûr, ils sont perçus différemment : quel est le risque ? C’est encore plus vrai si le fichier est partagé par un collègue. La plupart des employés pensent alors qu’il n’y a rien à craindre.
Les vulnérabilités détectées dans la version de bureau de Signal, dont nous avons parlé dans cet article, sont un très bon exemple pour expliquer comment les messageries instantanées gèrent les fichiers. L’exploitation des vulnérabilités permet aux cybercriminels de distribuer en toute discrétion des documents infectés dans un chat en se faisant passer pour un des participants.
Ce n’est qu’une hypothèse qui montre quelles sont les capacités techniques avancées des cybercriminels. D’autres méthodes peuvent être utilisées : un envoi de masse à partir d’une base de données volée ou encore une attaque ciblée grâce à l’ingénierie sociale.
Là encore, les systèmes d’exploitation mobiles sont mieux protégés contre les programmes malveillants, donc ce problème est moins important pour les utilisateurs de la version mobile des services de messagerie instantanée. Quant à la version de bureau, il y a beaucoup plus de risques d’attirer un programme malveillant sur l’ordinateur.
5. Des outils de défense sont nécessaires
Il ne faut pas oublier les menaces traditionnelles. Les solutions de sécurité spécialisées qui s'installent au niveau de la passerelle de la messagerie des entreprises renforcent la protection contre les pièces jointes malveillantes et l’hameçonnage. Les choses sont un peu plus compliquées dans le cas de la version de bureau des services de messagerie instantanée. Aucune solution ne peut se servir des serveurs de la messagerie pour accéder aux échanges de messages chiffrés de bout en bout. Les objets dangereux ne peuvent être interceptés qu’à la sortie, ce qui réduit le niveau de protection de façon significative.
Là encore, c’est loin d’être un problème pour les dispositifs mobiles. Il est plus difficile de les infecter à l’aide d’un programme malveillant, et moins de fichiers importants y sont stockés. De plus, le mouvement latéral au sein du réseau de l’entreprise après une attaque réussie sur un dispositif mobile n’aura probablement pas les mêmes conséquences dévastatrices.
La version de bureau d’un service de messagerie instantanée sur un ordinateur professionnel crée un canal de communication que l’administrateur réseau ne peut pas contrôler et qui n’est pas complètement protégé face à ces actions. Quelque chose de très mauvais pourrait se produire dans cet état des choses.
Il vaut mieux prévenir que guérir (ou être tenu pour responsable)
Nous finissons cet article comme nous l’avons commencé. Comme nous l’avons dit en introduction, la meilleure chose à faire est de ne pas utiliser la version de bureau des messageries instantanées. Si, pour une raison quelconque, ce n’est pas possible, prenez au moins quelques précautions de base :
- Assurez-vous d’installer une solution de sécurité sur tous les dispositifs professionnels. C’est en réalité la seule façon de vous protéger contre les objets malveillants qui peuvent se faufiler dans le réseau de votre entreprise via la messagerie instantanée.
- Essayez de mettre un terme à cette pratique si vos employés utilisent plusieurs services de messagerie instantanée dans le cadre de leur travail. Choisissez-en un et supprimez les autres.
- Gardez un historique des outils d’accès à distance installés et utilisés par les dispositifs professionnels.
- Cela étant dit, notre solution Kaspersky Endpoint Security Cloud est équipée de la fonctionnalité Cloud Discovery qui enregistre les tentatives d’accès de vos employés aux services Cloud non validés.
- Pour que toutes ces mesures soient encore plus efficaces, mais aussi pour prouver qu’elles sont absolument nécessaires, il serait judicieux de former vos employés en sécurité de l'information.