Quelles précautions dois-je prendre avant de télécharger une application sur mon téléphone ?
X travaille dans une entreprise dont le fondateur est originaire de la Silicon Valley.
Il a su, par conséquent, doter dès l’origine son entreprise des meilleures technologies, et tout le personnel dispose d’outils performants ; le télétravail est favorisé, les hommes et femmes sont sur un même plan d’égalité. En revanche, il ne supporte pas la médiocrité, la mollesse, l’embonpoint. Tous les collaborateurs sont invités à participer aux diverses équipes sportives, et la perte de poids est récompensée.
X et Y forment une bonne paire au travail, et ils s’encouragent l’un l’autre. Épicuriens tous les deux, ils ont profité de la courte pause de fin d’année pour goutter de bons petits plats, et la balance ne pardonne pas. Ils s’abonnent dès lors à un programme de remise en forme et s’équipent tout deux d’une montre connectée et de l’application y relative.
Chaque jour ils accèdent à l’application qui les renseigne sur le nombre de pas parcourus, le nombre de calories consommées, le rythme cardiaque. Ce faisant, ils ouvrent l’accès aux données de leur téléphone, car l’application n’est pas sécurisée. Des personnes mal intentionnées en profitent pour entrer par ce canal, et l’entreprise subit un vol de données.
Les dégâts sont importants, notamment en termes d’image. X et Y sont sanctionnés et les principes de sécurité de l’entreprise renforcés.
Recommandations
L’information de l’entreprise doit être sécurisée contre tout accès illégitime, et il en est de même des données personnelles, dont on doit garantir la confidentialité, l’intégrité et la disponibilité. A la différence des ordinateurs, les appareils d’usage courant reliés à Internet ne sont souvent protégés que de manière limitée contre un accès non autorisé, et des pirates peuvent les infecter. Il est fréquent par ailleurs de pouvoir accéder à ces appareils à l’aide de leurs mots de passe standard, et bien souvent, ces mots de passe ne sont pas modifiés après l’installation, pour autant qu’il soit possible d’en changer. Une application à usage personnel ne devrait en aucun cas être installée sur un appareil professionnel sans l’accord de l’entreprise.
Principes de base
art. 7 LPD: sécurité (confidentialité, disponibilité, intégrité)
Ressources
voir le rapport semestriel de MELANI, 2016/2 sur l’Internet des objets