Trello : fuite de données

La fuite de données de Trello n’était pas banale. Alors que s’est-il passé ?

Selon les médias, des données d’utilisateurs de centaines de grandes entreprises et de milliers de PME ont fuité de Trello. Il ne s’agissait pas d’une fuite de données à proprement parler : les entreprises utilisent Trello depuis des années et n’ont pas pris la peine de configurer correctement les paramètres de sécurité. Tout ce remue-ménage est dû à quelques chercheurs qui ont rendu ces informations publiques.

À vrai dire, l’histoire d’une entreprise stockant aux yeux de tous des données sensibles sur Trello fait la une tous les deux ans. Le chercheur Kushagra Pathak a tenté d’attirer l’attention sur ce sujet en publiant un article sur Medium il y a trois ans. Malheureusement, ces avertissements n’ont généralement que peu d’effet.

Ce qui a fuité et pourquoi

Les membres de Trello utilisent des tableaux pour collaborer sur des projets. Le tableau est privé par défaut (personne en dehors de l’équipe ne peut le voir), mais quand les utilisateurs doivent le montrer à une personne extérieure à l’équipe, ils le mettent en mode Public. À ce moment-là, n’importe quel utilisateur peut consulter le tableau avec un lien direct, et les moteurs de recherche peuvent indexer les informations qu’il contient. L’accès à chaque tableau est paramétré séparément.

Une requête de recherche bien menée peut révéler les tableaux publics de nombreuses entreprises. On y trouve des informations d’identification de sites Web, des scans de documents ou encore des conversations confidentielles professionnelles ; ce sont ces renseignements que de nombreux chercheurs ont trouvés et publiés.

Un accès non autorisé à votre espace de travail Trello peut avoir des conséquences, même si vous n’y stockez pas de documents confidentiels ou des mots de passe. Les pirates informatiques peuvent utiliser ces données pour rendre leurs attaques d’ingénierie sociale plus convaincantes, par exemple en entamant une conversation avec un employé et en mentionnant des informations sur des projets en cours pour qu’il baisse la garde.

Paramétrer Trello pour garder les données privées

En ne changeant que deux paramètres, vous pouvez empêcher les moteurs de recherche d’indexer les données de votre espace de travail Trello. La visibilité d’un espace de travail est secondaire, mais celle de chaque tableau est primordiale.

Les espaces de travail ont deux paramètres de confidentialité : privé et public. Le choix ne fait aucun doute.

Les tableaux, quant à eux, possèdent plus d’options : Privé (uniquement les membres ajoutés dans le tableau peuvent y avoir accès), Visible par les membres d’une équipe (tous les membres d’une équipe y ont accès), Entreprise (tous les employés y ont accès – uniquement pour les comptes professionnels), et Public (tout le monde y a accès). L’interface actuelle de Trello propose une description assez précise des options de confidentialité et laisse entendre que les moteurs de recherche Web n’ont accès qu’aux tableaux mis en Public, donc n’importe quelle autre option sauf cette dernière aurait empêché cette soi-disant fuite d’arriver.

Nous pensons que seul un certain nombre d’employés devrait avoir accès aux données professionnelles, et par conséquent, l’option de confidentialité Privé est la meilleure. Cela demande en effet un peu plus de travail car quelqu’un devra surveiller qui a accès à chaque tableau, mais cela aidera à protéger les informations.

Collaborer en toute sécurité

Paramétrer correctement la confidentialité de votre tableau Trello empêchera la divulgation de vos données. Voici d’autres mesures de sécurité à également prendre en compte :

  • Gérez minutieusement la liste des utilisateurs qui ont accès à votre espace de travail Trello et à chaque tableau. Si quelqu’un quitte le projet, l’équipe ou l’entreprise, révoquez son droit d’accès immédiatement ;
  • Formez vos employés sur l’importance d’utiliser un mot de passe fort, et conseillez-leur d’activer l’option d’authentification à deux facteurs que propose Trello ;
  • Assurez-vous que tous vos employés responsables de la sécurité des données sachent quels outils de collaboration en ligne utilisent tous les employés et quelles données sont stockées dans ces outils et ces services. Ceci est nécessaire afin d’évaluer les risques et créer un modèle de menace ;
  • Installez une solution de sécurité sur chaque ordinateur en gardant à l’esprit que tout outil de collaboration peut être un support propice aux cybermenaces (fichiers ou liens malveillants).
Conseils