
Il est temps de revoir la sécurité des applications de messagerie
La plupart des entreprises n’ont pas de politique établie concernant l’utilisation des applications de messagerie. Cependant, une récente décision de l’administrateur en chef de la Chambre des représentants des États-Unis pourrait les amener à reconsidérer leur position.
Une circulaire envoyée la semaine dernière a informé le personnel du Congrès que le service de messagerie WhatsApp a été interdit sur tous les appareils au sein de la Chambre des représentants des États-Unis. La circulaire indique que « le Bureau de la cybersécurité a estimé que WhatsApp présentait un risque élevé pour les utilisateurs en raison du manque de transparence dans la manière dont les données des utilisateurs sont protégées, de l’absence de chiffrement des données stockées et des risques de sécurité potentiels liés à son utilisation ».
Le texte ne donne pas de précisions sur le manque de transparence évoqué, mais plus tôt cette année, un responsable de WhatsApp a déclaré que la société israélienne de logiciels espions Paragon Solutions avait ciblé sa base d’utilisateurs, qui comprend de nombreux responsables gouvernementaux. La note recommande d’utiliser d’autres applications de messagerie, dont Microsoft Teams, Apple FaceTime et Signal.
On ne sait pas exactement dans quelle mesure ces applications et d’autres comme Discord sont utilisées dans les environnements d’entreprise, mais de nombreux utilisateurs finaux supposent que leur niveau de sécurité n’est peut-être pas aussi robuste qu’ils le croient.
Problèmes de sécurité et vulnérabilités potentielles
Un spyware installé sur un téléphone mobile peut surveiller et recueillir secrètement des informations sur les activités de l’utilisateur à son insu, notamment en suivant l’historique des appels, les messages texte, la localisation et l’activité de navigation, en plus d’enregistrer les contenus audio et vidéo. Il peut être installé via des applications malveillantes, des liens d’hameçonnage ou en exploitant les vulnérabilités du système d’exploitation d’un appareil mobile.
Selon une étude récente publiée par l’institut DARKNAVY, il est désormais possible d’exploiter les composants intégrés du navigateur et les mécanismes d’analyse d’URL pour exécuter du code à distance sans nécessiter aucune interaction de l’utilisateur au-delà de la réception du message.
Tout aussi préoccupant, il est relativement facile pour les utilisateurs finaux de ces applications de divulguer par inadvertance des données sensibles, comme la désormais célèbre invitation à un chat Signal envoyée par erreur à un journaliste par des responsables du ministère de la Défense (DoD).
Sensibiliser les dirigeants d’entreprise aux risques
Les équipes de cybersécurité mettent en garde depuis toujours contre les dangers du shadow IT. Cependant, de nos jours, il n’a jamais été aussi simple pour les utilisateurs finaux de configurer des discussions de groupe sur un certain nombre de services, dont certains ne sont même pas chiffrés.
Au-delà de l’interdiction d’utiliser ces applications pour discuter de tout sujet lié aux affaires, il ne semble pas y avoir grand-chose que les responsables de la cybersécurité puissent faire pour réduire le risque que présentent ces applications. Nombre de leurs utilisateurs les plus assidus sont des cadres de direction de l’entreprise. Ce n’est pas pour autant que les équipes de cybersécurité doivent baisser les bras et fermer les yeux.
L’éducation peut toujours être un outil efficace. Les professionnels de la cybersécurité doivent s’assurer de communiquer avec les dirigeants d’entreprise chaque fois que se produit un incident majeur impliquant une application de messagerie. La vérité est que bon nombre de ces conversations qui se déroulent sur les applications de messagerie seraient un peu plus sûres sur les plateformes e-mail auxquelles les équipes de cybersécurité ont consacré beaucoup de temps et d’efforts pour les sécuriser.
En fin de compte, les professionnels de la cybersécurité ne peuvent pas faire grand-chose pour protéger les utilisateurs finaux contre eux-mêmes. Cependant, s’il y a bien une chose qu’ils doivent faire, c’est donner l’exemple. Après tout, de nombreux utilisateurs finaux de services de messagerie sont également des professionnels de la cybersécurité parmi les premiers informés.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter