La Nasa, Lyft, Oracle, le Times, IBM, la 21st Century Fox, Target, le New York Times: un rapide coup d'œil au site officiel de Slack, la star des messageries d'entreprise, suffit pour comprendre à quel point la plateforme lancée en 2014 est devenue omniprésente dans les communications internes des firmes du monde entier.
C'est bien sûr pour elle une force –c'est aussi une très belle opportunité pour toutes celles et tous ceux qui aimeraient, de manière inopportune, aller jeter un œil non autorisé à ce qui s'y échange à longueur de journée.
Une cible idéale et lucrative
Prévoyant une cotation directe sur le New York Stock Exchange, valorisée selon les expert·es à près de 10 milliards de dollars, la firme a été dans l'obligation de transmettre en amont sa notice à la SEC (Securities and Exchange Commission, le gendarme de Wall Street), comme la loi le prévoit. En parallèle à diverses informations financières de rigueur, Slack a aussi dû y expliquer quelles menaces techniques pouvaient planer sur la sécurité de sa messagerie.
Si elle fait une liste à la Prévert 2.0 des attaques auxquelles sont habituellement soumises les entreprises (virus ou malwares, ransomware, vols de données ou de mots de passe, etc.), Slack a également décidé de mettre en avant les menaces que peuvent constituer «des organisations criminelles organisées, des États-nations, des acteurs soutenus par des États-nations».
En clair: compte tenu de la sensibilité des informations qui transitent sur la plateforme, les pirates du dimanche ne seront pas les seul·es à essayer d'outrepasser ses protections. Placé dans le cloud, facilement connectable à de nombreux systèmes externes (Google Drive, Office 365, GitHub, Salesforce, etc.) et n'offrant pas de cryptage de bout en bout, le tuyau est trop unique et la cible trop évidente. Toute organisation n'ayant pas suffisamment bouclé sa sécurité ou formé ses personnels risque des attaques massives coûteuses et dommageables –pour elle comme, potentiellement, pour l'État dont elle dépend.
Who uses Slack all the time to talk about sensitive projects? Journalists and activists. Who knows this? Nation state actors. https://t.co/7BrUWfmuEX
— Eva (@evacide) 26 avril 2019
Comme le note la spécialiste en cybersécurité Eva Galperin, accéder aux conversations entre journalistes ou activistes pourrait ainsi être considéré comme une richesse infinie pour certains régimes –qu'ils soient autoritaires ou non. De la même manière, mettre la main sur d'importants secrets industriels trop légèrement transmis via Slack pourrait, pour tout groupe hostile, constituer une mine d'or infinie pour de futures juteuses rançons.