WhatsApp : Un service risqué pour l'exfiltration de données

2 septembre 2022

Par Guermellou Mohammed - Cloud Security Architect, Skyhigh Security

Aujourd'hui, nous avons accès à de nombreux services légitimes de communication dans le nuage, tels que WhatsApp, à des fins professionnelles et personnelles. Cependant, ces services légitimes peuvent parfois être utilisés à mauvais escient et entraîner un risque d'exposition des données de l'entreprise. Tout au long de ce blog, nous discuterons des défis posés par les applications web personnelles qui contournent la technologie proxy pour exfiltrer des données et injecter des logiciels malveillants et de la manière dont le portefeuille Security Service Edge (SSE) de Skyhigh, avec Remote Browser Isolation (RBI), peut réduire la surface d'attaque et limiter l'exposition des données.

De nos jours, les plateformes de communication sont essentielles. Elles sont utilisées pour rester en contact avec les familles et les collègues et pour se faire de nouveaux amis. Leur utilisation a été accélérée par le COVID-19 et le nouveau lieu de travail moderne, où nous travaillons souvent en dehors des espaces de bureau, où nous pouvons socialiser avec nos coéquipiers et nos amis. En travaillant exclusivement à domicile ou dans d'autres lieux éloignés, nous réduisons le temps où nous nous voyons et, par conséquent, les technologies de communication telles que WhatsApp, Signal et Telegram sont utilisées à la fois à des fins personnelles et professionnelles.

Nouveaux risques sur le lieu de travail moderne

WhatsApp est une application mobile largement utilisée pour la communication. L'application en elle-même ne présente pas de risque de sécurité pour les entreprises, car l'utilisateur se sert de son appareil personnel pour accéder au service. Mais qu'en est-il lorsque nous faisons le lien entre les appareils gérés par l'entreprise et les appareils personnels, comme l'utilisation de la version web de WhatsApp à partir d'un appareil géré par l'entreprise ? Cette utilisation serait considérée comme un risque sur l'appareil de l'entreprise. Examinons de plus près comment fonctionne le service WhatsApp et où se situe le risque.

Lorsqu'un utilisateur accède à whatsapp.com, il lui est demandé de coupler son appareil mobile avec le portail web, ce qui permet au service web d'acheminer les conversations via le navigateur local. Techniquement, le navigateur de l'ordinateur local établit une communication sécurisée avec le service web de WhatsApp. Cette communication est un message bidirectionnel appelé socket web. Le rôle de la technologie proxy est de sécuriser le trafic web en inspectant les communications HTTP, mais elle ne peut pas inspecter le contenu des communications par socket web, comme le montre la figure 1.

Une fois l'application web WhatsApp installée sur un appareil de l'entreprise, un utilisateur peut télécharger et exfiltrer des données sensibles de l'entreprise. Cela rend impossible l'application de la politique DLP du proxy cloud, car les données sont cryptées et ne seront pas inspectées. Comme vous pouvez le voir dans la figure 2, les données contournent le contrôle du proxy cloud.

Dans la vidéo de démonstration des données exfiltrées via WhatsApp, un utilisateur tente de partager un document confidentiel contenant des informations de carte de crédit en utilisant sa messagerie personnelle, mais selon la politique DLP de Cloud Proxy, les informations contenues dans le fichier sont trop sensibles pour être téléchargées vers une boîte aux lettres personnelle, et sont donc bloquées. Pour contourner cette restriction, l'utilisateur tente alors de copier et de coller le contenu du fichier directement dans le navigateur. Comme précédemment, la politique DLP du proxy cloud est déclenchée et la tentative de copie est à nouveau bloquée. Dans une dernière tentative, l'utilisateur utilise WhatsApp Web et associe son appareil. Cette fois, il peut télécharger le fichier sans que le DLP du proxy Web du nuage n'en inspecte le contenu.

Surmonter les défis

La compréhension de ce risque crée un dilemme pour les administrateurs. Ils doivent décider s'ils autorisent les utilisateurs à accéder à ces services de communication lorsqu'ils travaillent à domicile ou s'ils bloquent WhatsApp pour se prémunir contre ce risque tout en entravant la capacité de travail de l'utilisateur. La solution idéale consisterait à permettre à l'utilisateur d'utiliser ce service (ou d'autres) tout en assurant la sécurité des données de l'entreprise. Par conséquent, les technologies d'isolation apporteront à l'administrateur le niveau de sécurité dont il a besoin à tout moment, tout en permettant aux utilisateurs d'avoir moins de restrictions dans l'accès aux services web.

Les technologies d'isolation empêchent l'exécution du contenu du site web sur le navigateur local de l'ordinateur de l'utilisateur en le déplaçant vers un site distant sécurisé. Seule une image du contenu du site web cible est alors affichée sur le navigateur de l'ordinateur local. Aucun contenu potentiellement compromis du site web ne sera exécuté sur la machine locale - ce qui réduit automatiquement l'exposition à la vulnérabilité du navigateur et le risque de détournement de cookies. Selon l'étude Innovation Insight for Remote Browser Isolation de Gartner (abonnement requis), les organisations qui utilisent des technologies d'isolation peuvent réduire la surface d'attaque de 70 %. Le diagramme de la figure 3 illustre la technologie Skyhigh Security Remote Browser Isolation (RBI) et la façon dont elle s'interpose entre le navigateur local et le service WhatsApp.

Notre vidéo de démonstration WhatsApp Secured with RBI présente un exemple d'utilisateur essayant d'accéder au service WhatsApp web. WhatsApp web sera ouvert dans un environnement cloud d'isolation sur Skyhigh Security Cloud et seule l'image des conversations sera envoyée au navigateur local. Un socket web est établi entre l'environnement cloud d'isolation et le service WhatsApp sécurisé par RBI, ce qui permet à l'administrateur de contrôler toutes les activités effectuées à partir de la session d'isolation.

Principaux enseignements

La technologie d'isolation offre aux mandataires web une plus grande liberté pour appliquer des actions plutôt que de simplement les autoriser ou les bloquer. C'est comme dans l'industrie automobile, où l'invention des freins a permis d'augmenter la vitesse des voitures en toute sécurité. Comme les freins peuvent empêcher une voiture d'aller trop vite et de perdre le contrôle, les ingénieurs ont mis au point des moteurs plus puissants qui peuvent rouler à des vitesses plus élevées, plus confiants dans le fait que ces vitesses peuvent être contrôlées en toute sécurité.

De même, la technologie d'isolation ouvre la porte aux contrôles par proxy web, en supprimant toute l'exécution de la machine locale vers un navigateur isolé sécurisé. Cela réduit la nécessité pour les administrateurs de maintenir d'énormes listes d'exceptions et donne plus de liberté à l'utilisateur lorsqu'il travaille à domicile. Cette approche soutient également les principes de l'architecture de sécurité à confiance zéro, car nous ne faisons pas confiance au site de destination ou à son contenu, mais nous évaluons et supprimons en permanence l'exécution de tout risque potentiel de l'ordinateur de l'entreprise vers un navigateur sécurisé et distant.

Liens utiles

• Produits de sécurité Web
• Qu'est-ce que l'isolation du navigateur ?
• Secure Web Gateway Fiche technique