Ici, à Hackaday, nous couvrons les actualités et les fonctionnalités intéressantes pour la communauté des hackers, en mettant davantage l’accent sur le côté matériel. Néanmoins, nous couvrons également de temps en temps des histoires du monde plus large de la sécurité. Celles-ci impliquent généralement des vulnérabilités découvertes grâce au travail patient de chercheurs en logiciels ou en matériel, et sont certainement ce que nous appellerions du piratage. Mais qu’en est-il de ces failles de sécurité de l’information qui ne sont pas du tout des piratages comme ça ? Que se passe-t-il lorsque la personne victime d’une violation donne t’as l’info ?
J’en ai un, et bien que ce ne soit pas un hack, c’est certainement quelque chose dont nous et ceux qui ne font pas partie de notre communauté devons parler. Je parle de l’occurrence déprimante d’organisations qui devraient savoir mieux, offrant leur en-tête à tout le monde sous la forme de documents Word librement modifiables.
Un morceau de papier qui ouvre tant de portes
Un papier à en-tête peut sembler à ceux d’entre nous à la pointe de la technologie comme s’il venait d’une époque révolue, mais en termes juridiques et de confiance, c’est toujours dans de nombreuses circonstances la clé qui ouvre la porte. Si vous vous présentez avec une lettre d’apparence officielle sur le bon en-tête, elle est prise au pied de la lettre. Dans mon temps, j’ai dû fournir exactement cela pour des transactions médicales, financières et juridiques. Ainsi, le papier à en-tête, et la capacité de l’utiliser, est un élément clé de la sécurité d’une organisation. Nous pouvons faire des trous dans cette convention obsolète autant que nous le voulons, mais tout ce qui est imprimé sur un papier à en-tête porte en lui la confiance et la réputation de cette organisation.
À mon époque, j’ai reçu des lettres de documents Word de nombreuses organisations qui devraient être mieux informées, et l’utilisation de l’en-tête est aussi simple que de réécrire la lettre dans mon traitement de texte. Il s’agit notamment de ma banque, de mon université, de la BBC, de plusieurs grandes maisons d’édition, d’une clinique spécialisée du National Health Service et même, dans un épisode particulièrement amusant, des avocats engagés par des personnes désagréables qui essayaient de me harceler.
Si j’étais un criminel, j’aurais pu essayer plusieurs fraudes financières lucratives en utilisant ces en-têtes de lettres. J’aurais pu utiliser celui du NHS avec mon médecin local pour me faire prescrire des produits pharmaceutiques intéressants, et j’aurais probablement pu utiliser ceux des professionnels et de l’université pour obtenir un travail pour lequel je ne suis pas qualifié. Telle est la valeur attribuée à ces documents. Malheureusement, je n’ai pas gardé une galerie de voyous pour que vous puissiez la parcourir, mais à la place, dans chaque cas, je les ai poliment informés de leur faille de sécurité et supprimé le document à moins qu’il ne s’agisse d’un document important auquel je devais m’accrocher. Je ne suis pas certain de la légalité derrière tout cela, mais je suppose que le crime n’est pas de posséder un en-tête électronique librement donné, mais de l’utiliser à des fins néfastes.
Comme si la liste ci-dessus de grands noms aléatoires qui ont eu la gentillesse de me donner leur papier à en-tête ne suffisait pas, lors de la recherche de cet article, j’ai été étonné de trouver de grandes organisations des secteurs public et privé qui les rendent même disponibles en téléchargement. J’ai refusé de mettre en place des liens, mais, dans certains cas, des lettres destinées au public peuvent être trouvées en ligne sous forme de documents Word, et il existe même des organisations qui publient des guides de conception et de style de communication contenant les en-têtes vierges prêts à l’emploi. Vous ne pouviez vraiment pas inventer ça !
Sécurité de base laissée au plus bas payé
Bien sûr, la faute est en partie à un manque de compréhension de ce que signifie réellement une version électronique d’un document. La tâche de rédaction et d’envoi est laissée aux travailleurs les moins payés au bas de l’échelle, et ils n’ont évidemment aucune idée qu’il y a un risque de sécurité impliqué ; pour eux le document simplement est ce qui est craché par Word. Si jamais une fraude est retracée à un en-tête dans un document Word, vous pouvez être certain que ce sont ces humbles sbires qui seront pour la côtelette, mais les vrais coupables se trouvent plus haut dans la chaîne alimentaire pour ne pas avoir institué de politiques et de formation appropriées. Ce qu’il faut, c’est que le papier à en-tête soit considéré comme un élément aussi important de la sécurité organisationnelle que tout autre actif électronique.
Les documents doivent encore être envoyés, alors comment devraient-ils le faire ? Le premier choix évident est d’utiliser le format PDF, en tant que format de document électronique facilement accepté. Ils ne sont en aucun cas parfaits en tant que format propriétaire, et certaines des fonctionnalités PDF avancées nécessitent le propre lecteur d’Adobe qui n’est pas disponible sur toutes les plates-formes, mais elles sont au moins bien comprises et omniprésentes. Les PDF peuvent bien sûr toujours être modifiés, mais la barrière à l’entrée pour le mécréant est immédiatement plus élevée. Alternativement, il existe différentes plates-formes de livraison en ligne sécurisées, par exemple mon comptable met ses documents à disposition via un portail pour lequel je dois fournir un identifiant sécurisé. S’il existe un équivalent open source crédible à l’une de ces options, nous aimerions l’entendre.
Alors que mes en-têtes de lettres parodiques dans l’image d’en-tête devraient être assez faciles à repérer, on ne peut pas en dire autant de la vraie chose. Je prêche à la chorale infosec dans un morceau Hackaday donc vous serez probablement avec moi sur la plupart de ces points, mais que faut-il faire ? Comme toujours, les commentaires attendent.
