Une sécurité totale face aux cyberattaques n’est qu’une illusion
Les failles de sécurité annoncées successivement par Facebook puis Google sur leurs réseaux sociaux sont venues rappeler ces dernières semaines une réalité trop souvent sous-estimée, tant par les internautes que par nombre d’entreprises: en cybersécurité, le risque zéro n’existe pas.
« Il est impossible de proposer une sécurité totale à tout moment lorsque l’on développe un système très complexe, comme cela peut être le cas pour des réseaux sociaux. La moindre mise à jour peut provoquer une erreur ou une faille qui peut être trouvée et exploitée, cela arrive tout le temps », insiste Luis Corrons, évangéliste sécurité pour l’entreprise tchèque de cybersécurité Avast.
Or, les réseaux sociaux mettent continuellement à jour leurs plates-formes, le plus souvent sans que leurs utilisateurs en aient conscience, soit pour ajouter une fonctionnalité, soit pour améliorer la fluidité du trafic ou plus simplement réparer une faille de sécurité repérée.
« A titre d’exemple, il y a des centaines de modifications par jour du code sur Twitter afin d’améliorer la sécurité ou le fonctionnement, cela représente autant de nouvelles failles potentielles qui peuvent être exploitées », souligne Arnaud Cassagne, directeur des opérations pour l’intégrateur web et spécialiste de la sécurité Newlode.
« La difficulté pour les entreprises est de trouver un équilibre entre des changements réguliers, une ergonomie simple pour les utilisateurs et les prises de risque cyber que cela implique. Il y a un juste milieu à trouver et les plates-formes font de plus en plus souvent travailler des équipes transdisciplinaires sur ces sujets afin d’avoir quelque chose d’équilibré », ajoute Gérôme Billois, expert en cybersécurité au cabinet Wavestone.max
Loin d’être les seuls, les deux géants du net ne viennent que s’ajouter à une longue liste de grands groupes concernés par l’exploitation de failles de sécurité, tels que British Airways ou Uber.
De l’avis de nombreux experts, c’est d’ailleurs la prise en compte du risque cyber par beaucoup de grosses entreprises qui laisse encore à désirer.
« L’humain reste le point faible »
Selon une étude réalisée par le cabinet Wavestone et publiée lundi, la totalité des sites web des plus grands groupes français présentent des failles de sécurité et pour la moitié d’entre eux, il s’agit de failles graves.
« Des entreprises comme Facebook ou Google investissent beaucoup dans la sécurité, mais sont touchées par des failles complexes, difficiles à anticiper. Pour les autres, il y a encore beaucoup à faire et on n’observe pas d’amélioration sur les dernières années », détaille Gérôme Billois.
Au-delà des entreprises elle-mêmes, ce sont les comportements des utilisateurs qui doivent évoluer, et tout particulièrement la prise de conscience des implications qu’entraîne le fait de laisser trop de données sur les réseaux sociaux.
« Si demain on vole des identifiants sur Facebook, on peut mettre la main sur énormément de données, cela peut permettre de l’usurpation d’identité et des actes frauduleux sur d’autres sites bien plus sensibles », explique M. Cassagne.
Un point de vue que rejoint Gérôme Billois: « les données de santé en particulier sont à protéger, il n’y a clairement pas assez de prise de conscience de la sensibilité de ces dernières ».
Lorsque les internautes postent sur leurs comptes leurs exploits sportifs, rythme cardiaque à la clé, ou leurs lieux de vacances, ce sont autant de données essentielles qu’ils prennent le risque de donner en cas de piratage, quand bien même ils s’assurent que leur profil reste privé.
« Les humains restent le point faible » en terme de cybersécurité, rappelle Luis Corrons, « il y a nettement plus de chances de perdre ses données via du +phishing+ (un courriel visant à récupérer des identifiants, NDLR) que par une attaque via les failles des réseaux sociaux ».
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici