Le géant des logiciels RH Rippling a lancé une allégation explosive d'espionnage d'entreprise contre Deel, l'un de ses principaux concurrents. Dans un billet de blog décrivant son action en justice contre Deel et suscitant l'indignation, Rippling a accusé Deel d'avoir placé un espion au sein de son équipe chargée des opérations de paie afin de "mener des milliers de recherches suspectes et de renvoyer les informations commerciales confidentielles volées directement à Deel".
Cette histoire met en évidence la profonde vulnérabilité des solutions de collaboration d'entreprise traditionnelles qui ouvrent la porte à des compromissions et à des exfiltrations de données dangereuses, perturbatrices et potentiellement débilitantes.
L'intrigue se déroule comme dans un film, et Slack joue un rôle fascinant de second rôle, ou plutôt de "facilitateur".
Comme l'a expliqué TechCrunch, Slack a joué un rôle majeur dans l'escroquerie et sa découverte. Selon le procès, l'employé qui n'avait aucune raison légitime d'accéder aux secrets commerciaux a pu, d'une manière ou d'une autre, effectuer librement des recherches dans les canaux Slack plus de 6 000 fois afin de trouver et d'exploiter des données confidentielles sur le pipeline de vente.
Le récit relatif à Slack se concentre sur le fait que l'équipe de Rippling a utilisé l'analyse de l'activité inhabituelle de Slack pour signaler le volume élevé et soutenu de recherche de l'employé dans ces canaux sensibles. Elle a ensuite créé un canal Slack de type "honeypot", envoyé un "tuyau" aux cadres supérieurs de Deel pour leur indiquer que ce canal les intéresserait, puis a immédiatement observé l'employé en train de fouiner dans ce canal vide et par ailleurs inutilisé. C'est hallucinant si c'est vrai.
Dans ce récit, Slack joue le rôle de protagoniste, aidant à la découverte de la brèche. Ce qui semble très bien. Cependant, cela ne tient pas compte d'un problème majeur que l'histoire ne mentionne pas, à savoir le fait que Slack a permis à un employé aléatoire n'ayant pas besoin de savoir d'accéder à des données très sensibles. Ce n'est pas un bon défenseur de la protection des données et de la vie privée ; c'est un catalyseur toxique de mauvais comportements et d'exfiltration.
S'il convient de saluer la vigilance de l'équipe de Rippling, une question se pose : Pourquoi toutes ces données confidentielles peuvent-elles être découvertes par n'importe quel inconnu de l'entreprise ?
La réponse est que Slack, Teams et leurs semblables ont conçu leurs produits et vendu le marché en maintenant le niveau de sécurité le plus bas possible qui puisse passer le test du renifleur de l'entreprise. La confiance zéro n'est tout simplement pas un élément par défaut de l'image. Les canaux ont tendance à être largement ouverts, sans segmentation significative. Et même si les canaux restent "privés", ils ne sont pas sécurisés. Dans Slack, les données ne sont pas cryptées de bout en bout, de sorte que toute personne disposant d'un accès administrateur peut accéder à tout.
L'approche négligente de l'architecture de confiance zéro s'étend à de nombreux autres exemples, comme la manière dont Microsoft Teams aborde les fédérations. Il ne s'agit pas d'une erreur, mais d'une conception. Comme l'a déclaré Jen Easterly, ancienne directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures, lors d'une conférence Black Hat, "pendant des décennies, les fournisseurs de technologie ont été autorisés à créer des logiciels défectueux, non sécurisés et erronés".
Rippling s'est fait griller par cette approche non sécurisée de la collaboration. Mais la situation aurait pu être bien pire. L'étude de cas la plus représentative d'une situation où la sécurité de Slack n'est pas digne de confiance est celle de Disney. L'entreprise a perdu une masse considérable de données sensibles parce qu'un administrateur a été compromis et a exfiltré un téraoctet ( !!!) d'informations confidentielles de son instance Slack. Cela vous rappelle quelque chose ?
Et si l'espion n'était pas seulement intéressé par les accords Deel (jeu de mots) ? Et s'il était plus malveillant ? Et s'il était employé par un syndicat criminel et avait l'intention de tirer parti de cette communication confidentielle pour s'infiltrer profondément dans les systèmes et installer un ransomware ? Ou si un hacktiviste cherchait à faire couler le sang et voulait simplement divulguer malicieusement des informations au monde entier et détruire la valeur et l'image de marque de l'entreprise ?
Si votre organisation expose des informations hautement confidentielles dans des canaux Slack ouverts ou même privés, vous prenez des risques importants. Bien sûr, quelqu'un pourrait devenir un héros en étant capable d'utiliser Slack forensics pour comprendre pourquoi l'entreprise a été piratée et écrasée, mais à quoi bon analyser comment les chevaux sont sortis de l'étable lorsqu'ils sont à des milliers de kilomètres de là ?
Adopter une suite collaborative sécurisée pour les communications sensibles est tout simplement indispensable aujourd'hui. Le monde est de moins en moins sûr, car de plus en plus de gouvernements deviennent "transactionnels" en ce qui concerne la confidentialité et la souveraineté des données des entreprises et des consommateurs. Pendant ce temps, il suffit aux prédateurs de réussir une fois pour paralyser ou même tuer votre entreprise.
Même si vous choisissez de conserver une grande partie de vos communications non sensibles sur une plateforme grand public, une solution de collaboration sécurisée est essentielle pour répondre aux cas d'utilisation clés qui nécessitent une plus grande protection :
En fait, pour les organisations d'infrastructures critiques de l'UE qui sont couvertes par la réglementation NIS2, le maintien d'une plateforme de communication sécurisée est une exigence de l'article 21 pour faire face aux pannes informatiques, aux scénarios de catastrophe et aux incidents de cybersécurité.
La bonne nouvelle est qu'avec Wire, vous pouvez obtenir une suite de collaboration complète et facile à utiliser avec les communications cryptées de bout en bout les plus puissantes disponibles, y compris la prise en charge de la cryptographie post-quantique. La plate-forme de cryptage de bout en bout (E2EE) de Wire, la première à être entièrement alimentée par la norme IETF Messaging Layer Security (MLS), n'est pas seulement incroyablement robuste, mais aussi délicieusement invisible pour les utilisateurs. Wire offre des contrôles administratifs bien pensés qui répondent aux besoins des organisations les plus soucieuses de la sécurité, tout en restant simple pour les organisations qui ont simplement besoin d'une plateforme de communication hors bande (OOB) protégée qui peut être facilement adoptée sur un coup de tête.
Si votre organisation ne dispose pas aujourd'hui d'une protection appropriée pour ses communications sensibles, n'attendez pas de faire partie d'un drame comme Rippling et Deel.