Si vous publiez des photos des entrées d’un concert sur Instagram sans cacher le code-barres, quelqu’un pourrait voir votre groupe préféré à votre place. Cela peut aussi arriver si vous occultez le code-barres mais n’utilisez pas le bon outil pour le faire.
Cela étant dit, n’oubliez pas qu’il est assez facile de dissimuler correctement le code-barres avant de vous vanter d’avoir un billet. C’est une autre histoire si vous publiez une photo en ligne sans vous rendre compte qu’il y a un billet ou un post-it avec des mots de passe. Voici quelques cas de personnes qui ont publié des données confidentielles en ligne sans le savoir.
1. Publications de photos avec des mots de passe en toile de fond
Les photos et vidéos faites au sein de l’entreprise, ou d’autres installations, révèlent plus souvent qu’on ne le pense des mots de passe et autres secrets. Lorsqu’ils prennent leurs collègues en photo, peu de gens font attention à ce qui se voit en arrière-plan et le résultat peut être embarrassant, voire dangereux.
Erreur des renseignements militaires
En 2012, la British Royal Air Force a mis les pieds dans le plat, vraiment. Dans un reportage photo sur le prince William, qui faisait son service militaire dans une section de l’armée de l’air britannique, les identifiants de connexion au système MilFLI (military flight information publications) ont été divulgués. Il s’agit d’un identifiant et de son mot de passe qui apparaissent sur un papier affiché sur le mur derrière le duc de Cambridge.
Peu de temps après avoir été publiées sur le site officiel de la famille royale, les images ont été remplacées par des versions retouchées et les identifiants compromis ont été modifiés. Nous ne savons pas s’ils ont à nouveau été affichés sur le mur.
L’incident avec le prince William est loin d’être isolé. Des militaires moins connus ont aussi partagé des secrets en ligne, avec ou sans l’aide de la presse. Par exemple, un officier a publié un selfie sur les réseaux sociaux avec des informations confidentielles en arrière-plan. Le soldat s’en est bien sorti puisqu’il n’a eu qu’une « rééducation et une formation ».
Fuite en direct
En 2015, la chaîne de télévision française TV5Monde a été victime d’une attaque informatique. Des personnes non identifiées ont piraté et dégradé le site Internet de la chaîne et sa page Facebook, puis ont interrompu l’émission des programmes pendant plusieurs heures.
Les événements ultérieurs ont fait que cette histoire a tourné au ridicule. Un employé de TV5Monde a donné une interview au sujet de l’attaque, et l’on pouvait voir en arrière-plan les mots de passe de l’entreprise permettant de se connecter aux réseaux sociaux. Il est difficile de lire le texte mais les passionnés ont pu obtenir le mot de passe de la chaîne YouTube de TV5Monde.
Il s’avère, par pur hasard, que cet incident permet d’expliquer ce qu’il ne faut pas faire lorsque l’on crée un mot de passe : la réponse à la question secrète n’était autre que « lemotdepassedeyoutube ». Heureusement, le chaîne YouTube et les autres comptes de l’entreprise ont été épargnés. Pourtant, cette toile de fond avec les mots de passe donne matière à réflexion quant à l’attaque informatique initiale.
Un incident similaire a eu lieu juste avant la Super Bowl XLVIII, en 2014, lorsqu’un caméraman a filmé sans le vouloir les identifiants de connexion au Wi-Fi interne du stade. Le plus ironique de ce préjudice est que les images venaient du centre de commande responsable de la sécurité de l’événement.
2. Utilisation des trackers de fitness
Les dispositifs que vous utilisez pour surveiller votre santé peuvent parfaitement permettre à une autre personne de vous surveiller voire d’obtenir certaines données confidentielles, comme le code PIN de votre carte bleue grâce au mouvement de votre main lorsque vous le saisissez. Il est vrai que ce dernier exemple semble peu réaliste.
Malheureusement, les fuites de données relatives à l’emplacement d’installations militaires secrètes sont bel et bien vraies. Par exemple, l’application de fitness Strava, qui compte plus de 10 millions d’utilisateurs, trace l’itinéraire du coureur sur une carte publique. Elle a également révélé certaines bases militaires.
Même si l’application peut être configurée pour éviter que les curieux ne puissent voir les itinéraires, il semblerait que quelques détails techniques échappent à certains utilisateurs en uniforme.
Lorsque le Pentagone a fait référence aux risques de ces fuites en 2018, il a tout simplement interdit aux soldats américains d’utiliser les trackers de fitness. Il est vrai que pour ceux qui ne passent généralement pas leurs journées dans des bases militaires américaines cette solution peut sembler excessive. Nous vous conseillons malgré tout de prendre le temps de bien configurer les paramètres de confidentialité de votre application de fitness.
3. Diffusion de métadonnées
Il est très facile d’oublier (ou de ne pas le savoir dès le début) que les informations relatives aux fichiers, ou les métadonnées, peuvent cacher certains secrets. Les photos peuvent notamment contenir les coordonnées de l’endroit où elles ont été prises.
En 2007, des soldats américains (il semblerait qu’une tendance se dessine) ont publié des photos en ligne d’hélicoptères qui se posaient sur une base en Irak. Les métadonnées des images contenaient les coordonnées exactes de leur position. Selon une des versions de cet incident, les informations ont ensuite été utilisées par l’ennemi pour mener une attaque qui a coûté quatre hélicoptères aux États-Unis.
4. Partage excessif sur les réseaux sociaux
Vous pouvez connaître certains secrets tout simplement à travers les amis d’une personne. Par exemple, si les vendeurs d’une région en particulier commencent à apparaître dans la liste d’amis d’un chef d’entreprise, la concurrence pourrait en conclure que l’entreprise cherche de nouveaux marchés et essayer de lui couper l’herbe sous le pied.
En 2011, la journaliste Charon Machlis de Computerworld a réalisé une étude et a cherché à obtenir des informations à partir de LinkedIn. En seulement 20 minutes, elle a trouvé le nombre de modérateurs des forums en ligne d’Apple, l’organisation de l’infrastructure des ressources humaines de l’entreprise, etc.
Elle reconnaît qu’elle n’a pas découvert de secret industriel mais Apple se vante de prendre la protection de la vie privée plus au sérieux que n’importe quelle autre entreprise. Pendant ce temps, à partir de la description des responsabilités professionnelles du vice-président de HP, là encore affichées sur LinkedIn, tout le monde a pu découvrir quels services Cloud l’entreprise utilise.
Comment éviter de divulguer accidentellement certaines données
Les employés peuvent involontairement partager beaucoup de renseignements sur votre entreprise. Pour éviter que vos secrets ne soient rendus publics, mettez en place des règles strictes quant à la publication d’informations en ligne et informez tout votre personnel :
- Lorsque vous prenez des photos ou enregistrez des vidéos pour les publier sur les réseaux sociaux, vérifiez qu’aucune information sensible n’apparaît. Il en est de même lorsque quelqu’un vous prend en photo, vous filme, ou prend des clichés de votre bureau. Cela importe peu aux journalistes, mais vous allez peut-être vous faire remonter les bretelles si vos mots de passe circulent sur Internet. Ne prenez des photos que dans les pièces prévues à cet effet. Si vous n’en avez pas, vérifiez au moins les papiers affichés sur les murs et ceux laissés sur les bureaux.
- Faites attention à ce que les autres peuvent voir pendant un appel vidéo ou une visioconférence, même si vous parlez avec des collègues ou des associés.
- Cachez les contacts personnels et professionnels sensibles sur les réseaux sociaux. N’oubliez pas que la concurrence, les escrocs et n’importe quelle personne mal intentionnée peuvent les utiliser contre vous.
- Effacez les métadonnées d’un fichier avant de le publier. Si vous utilisez un ordinateur Windows, vous pouvez le faire dans les propriétés du fichier. Depuis un smartphone, il existe certaines applications spéciales. Vos lecteurs n’ont pas besoin de savoir où cette photo a été prise ou quel ordinateur a été utilisé pour créer le document.
- Avant de vous vanter, assurez-vous que cette réussite professionnelle ne soit pas un secret industriel. Quoi qu’il en soit, il n’est probablement pas judicieux de partager votre réussite dans les moindres détails.
Les employés devraient clairement comprendre quelles informations sont confidentielles et comment les gérer. Notre plateforme automatisée de sensibilisation à la sécurité a une formation consacrée à ce sujet.