Barracuda full logo

Il est temps de revoir la sécurité des applications de messagerie

Thèmes:
3 juil. 2025
|
Mike Vizard

La plupart des entreprises n’ont pas de politique établie concernant l’utilisation des applications de messagerie. Cependant, une récente décision de l’administrateur en chef de la Chambre des représentants des États-Unis pourrait les amener à reconsidérer leur position.

Une circulaire envoyée la semaine dernière a informé le personnel du Congrès que le service de messagerie WhatsApp a été interdit sur tous les appareils au sein de la Chambre des représentants des États-Unis. La circulaire indique que « le Bureau de la cybersécurité a estimé que WhatsApp présentait un risque élevé pour les utilisateurs en raison du manque de transparence dans la manière dont les données des utilisateurs sont protégées, de l’absence de chiffrement des données stockées et des risques de sécurité potentiels liés à son utilisation ».

Le texte ne donne pas de précisions sur le manque de transparence évoqué, mais plus tôt cette année, un responsable de WhatsApp a déclaré que la société israélienne de logiciels espions Paragon Solutions avait ciblé sa base d’utilisateurs, qui comprend de nombreux responsables gouvernementaux. La note recommande d’utiliser d’autres applications de messagerie, dont Microsoft Teams, Apple FaceTime et Signal.

On ne sait pas exactement dans quelle mesure ces applications et d’autres comme Discord sont utilisées dans les environnements d’entreprise, mais de nombreux utilisateurs finaux supposent que leur niveau de sécurité n’est peut-être pas aussi robuste qu’ils le croient.

Problèmes de sécurité et vulnérabilités potentielles

Un spyware installé sur un téléphone mobile peut surveiller et recueillir secrètement des informations sur les activités de l’utilisateur à son insu, notamment en suivant l’historique des appels, les messages texte, la localisation et l’activité de navigation, en plus d’enregistrer les contenus audio et vidéo. Il peut être installé via des applications malveillantes, des liens d’hameçonnage ou en exploitant les vulnérabilités du système d’exploitation d’un appareil mobile.

Selon une étude récente publiée par l’institut DARKNAVY, il est désormais possible d’exploiter les composants intégrés du navigateur et les mécanismes d’analyse d’URL pour exécuter du code à distance sans nécessiter aucune interaction de l’utilisateur au-delà de la réception du message.

Tout aussi préoccupant, il est relativement facile pour les utilisateurs finaux de ces applications de divulguer par inadvertance des données sensibles, comme la désormais célèbre invitation à un chat Signal envoyée par erreur à un journaliste par des responsables du ministère de la Défense (DoD).

Sensibiliser les dirigeants d’entreprise aux risques

Les équipes de cybersécurité mettent en garde depuis toujours contre les dangers du shadow IT. Cependant, de nos jours, il n’a jamais été aussi simple pour les utilisateurs finaux de configurer des discussions de groupe sur un certain nombre de services, dont certains ne sont même pas chiffrés.

Au-delà de l’interdiction d’utiliser ces applications pour discuter de tout sujet lié aux affaires, il ne semble pas y avoir grand-chose que les responsables de la cybersécurité puissent faire pour réduire le risque que présentent ces applications. Nombre de leurs utilisateurs les plus assidus sont des cadres de direction de l’entreprise. Ce n’est pas pour autant que les équipes de cybersécurité doivent baisser les bras et fermer les yeux.

L’éducation peut toujours être un outil efficace. Les professionnels de la cybersécurité doivent s’assurer de communiquer avec les dirigeants d’entreprise chaque fois que se produit un incident majeur impliquant une application de messagerie. La vérité est que bon nombre de ces conversations qui se déroulent sur les applications de messagerie seraient un peu plus sûres sur les plateformes e-mail auxquelles les équipes de cybersécurité ont consacré beaucoup de temps et d’efforts pour les sécuriser.

En fin de compte, les professionnels de la cybersécurité ne peuvent pas faire grand-chose pour protéger les utilisateurs finaux contre eux-mêmes. Cependant, s’il y a bien une chose qu’ils doivent faire, c’est donner l’exemple. Après tout, de nombreux utilisateurs finaux de services de messagerie sont également des professionnels de la cybersécurité parmi les premiers informés.

S’abonner au blog Barracuda
Mike Vizard

Mike Vizard est un spécialiste de l'informatique depuis plus de 25 ans et à ce titre, a publié et contribué à de nombreuses publications techniques, dont InfoWorld, eWeek, CRN, Baseline, ComputerWorld, TMCNet et Digital Review. Il rédige actuellement des articles de blog pour IT Business Edge, et contribue à la rédaction d'articles pour CIOinsight, The Channel Insider, Programmableweb et Slashdot. Mike blogue également sur la technologie cloud émergente pour SmarterMSP.

Connectez-vous à Mike sur LinkedIn ou Twitter.

Billets associés :
La controverse autour des CVE offre une opportunité d'amélioration
La controverse autour des CVE offre une opportunité d'amélioration
 Crise de financement du programme CVE : implications et réponse stratégique
Crise de financement du programme CVE : implications et réponse stratégique
 Comprendre l'amendement de 2024 à la loi sur la protection des données à caractère personnel de la Malaisie
Comprendre l'amendement de 2024 à la loi sur la protection des données à caractère personnel de la Malaisie
 L’agence américaine de cyberdéfense définit ses priorités pour l’année 2024. Devriez-vous adopter ces priorités ?
L’agence américaine de cyberdéfense définit ses priorités pour l’année 2024. Devriez-vous adopter ces priorités ?
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.