Slack : nouvel espace de phishing prisé des hackers !

Slack est devenue en quelques années l’une des plateformes collaboratives, les plus populaires et l’une des plus utilisées par les entreprises en quête d’un espace de travail numérique fonctionnel, pour le travail à distance. Son application didactique permet une prise en main rapide et facile pour tous les acteurs de l’entreprise. Mais est-ce que Slack répond en tout point aux exigences de cybersécurité des entreprises ?

Slack une plateforme intuitive pour les entreprises 

Slack est une plateforme collaborative et innovante à destination des entreprises. Son principe est très simple, permettre aux employés d’échanger sur une messagerie instantanée. Slack révolutionne les techniques de travail, permettant l’interconnexion entre les employés, au-delà de l’entreprise. 

L’entreprise propose divers canaux de communication sécurisés : 

  • Une application disponible sur smartphone ou ordinateur 
  • Une messagerie instantanée en créant des canaux de discussion spécifique 
  • Un cloud privé (partage d’applications et de documents) 
  • Des appels audio 
  • Des vidéoconférences 

Slack s’adresse également aux entreprises très réglementés comme les banques ou les compagnies aériennes, mais pas seulement, Slack développe son offre en s’adaptant aux contraintes de certaines professions et administrations publiques. Du point de vue de la législation, elles ne peuvent pas utiliser des systèmes de messageries publiques comme Gmail ou encore WhatsApp puisqu’elles traitent des données sensibles. Ces dernières exposeraient leurs données aux tentatives de phishing et au vol. 

Des failles sécuritaires sur la plateforme Slack ?

Après cette vague épidémique du COVID-19 en France, le gouvernement à décidé de passer au confinement obligeant les sociétés à utiliser le télétravail de façon massive. 

La plateforme Slack a vu son nombre d’utilisateurs croître de façon exponentielle, les risques de phishing également. Le phishing consiste en l’obtention de renseignements personnels de manière frauduleuse dans le but d’usurper l’identité d’une administration publique ou d’une entreprise. 

Le phishing est la technique privilégiée en 2019 contre les entreprises selon le rapport cybermalveillance du gouvernement publié en janvier 2020. 

Ce rapport fait un constat alarmant, il note : une augmentation significative du nombre de victimes (une hausse de 210 %). Chez les professionnels, les demandes d’aide ont porté sur le phishing à 23 %

Cette fois, ce sont les webhooks entrants qui ont été ciblés. Cette fonctionnalité permet aux entreprises d’utiliser des applications tierces et en conséquence d’exposer les données stockées. 

Ces applications tierces sont soumises à leur propre politique empêchant la plateforme d’agir. Le risque de phishing par ce canaux semble faible, mais il est possible de s’en prémunir en activant les différents systèmes d’approbation disponible sur Slack. 

Pourquoi est-ce un problème ? 

Les Etats Unis ont récemment adopté une loi très intrusive, le « cloud act » en mars 2018. Cette loi est relative à l’espionnage industriel et au vol de la propriété industrielle. Elle élargie considérablement les moyens d’action prévus par le patriot act. 

Les autorités peuvent désormais accéder aux données de toute personne ou entreprise dès lors qu’il y a un lien avec les Etats Unis. Ils peuvent réaliser des investigations légalement et s’emparer de données sensibles. Cela fait suite à l’affaire Microsoft, la société refusa de donner l’accès aux données (hébergées à Dublin) de ses utilisateurs, aux autorités américaines.

La France et plus largement l’Union européenne ont tenté de réduire l’impact de ces lois, en promulguant une réglementation sur les données personnelle appelées RGPD. 

Actuellement, il n’existe aucune législation similaire en France. Le secret des affaires est un principe très important. Cela comporte un avantage significatif pour les entreprises voulant préserver la confidentialité de leurs travaux. 

Comment Slack se prémunit du phishing ? 

Depuis peu, Slack s’est implanté en France offrant à ses clients la possibilité d’héberger leurs données générées dans le pays de leur choix.

Sur Slack, les données sont automatiquement chiffrées qu’elles soient stockées ou en transit. 

Slack offre aux entreprises un espace de collaboration sécurisé. Néanmoins, avec la législation américaine le cloud act, les autorités peuvent sans informer les internautes avoir accès à leurs données mêmes lorsqu’elles se trouvent hors du territoire.

La gestion des clés de chiffrement 

En offrant la possibilité aux entreprises d’utiliser un chiffrement personnalisé, les entreprises vont gérer alors directement les clés de chiffrement. L’entreprise Slack n’aura aucun contrôle dessus, empêchant ainsi, les autorités américaines d’y avoir accès. 

Un problème se pose néanmoins, sur la gestion des clés. Elle demeure sur AWS KMS, un cloud d’une autre entreprise américaine. C’est en étant conscient de cette problématique que Slack à annoncé son implantation en France. Cela lui permet d’avoir recours aux datacenters de AWS en France et d’éviter d’être sous le contrôle des lois extraterritoriales américaines.

Pour autant, le phishing même s’il n’est que parcellaire, la compilation des données récoltées pourraient devenir problématique pour les professions réglementées. L’entreprise Slack victime de son succès a été l’objet de nombreuses attaques. 

Depuis plusieurs années, elle offre constamment un niveau supplémentaire de sécurité aux entreprises. Il convient de poursuivre cet effort en offrant les moyens aux entreprises de garantir leur sécurité. 

Quelle solution adopter ?

CommuniGate Systems est une entreprise américaine, implantée en France et non soumise à la législation américaine (patriot act et cloud act). Nous respectons toutes les lois en vigueur comme le RGPD. 

17000 organisations à travers le monde font confiance à nos solutions de communication unifiée et sécurisée dans un cloud privé.

Toute notre technologie est mise au service des entreprises réglementées afin de les aider à se prémunir contre toutes les menaces de piratage. 

Ces entreprises règlementées comme les banques, les compagnies aériennes, de transport, les assurances, les institutions publiques (éducation, santé, gouvernement, militaire…) etc.  hébergent les données confidentielles de leurs usagers et clients. 

C’est pourquoi elles n’ont pas le droit légalement d’utiliser les solutions comme Slack qui peuvent mettre à risque leur sécurité. 

Pourquoi attendre davantage pour assurer la sécurité et la protection des données numériques de votre entreprise ? Contactez-nous !

You may also like