L'ANSSI avertit des dangers de la chasse au Dracaufeu en entreprises
Les risques informatiques associés à Pokemon GO font l'objet d'une notre d'information du CERT-FR, service de l'ANSSI.
PublicitéGrâce au CERT-FR, le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques dépendant de l'ANSSI, donc du SGDSN et du Premier Ministre, la presse professionnelle informatique peut sérieusement aborder le sujet le plus chaud de l'été : Pokémon GO, objet d'un bulletin d'actualité. Bien entendu, c'est uniquement pour les risques affectant le SI associés à cette lubie ludique qui, malheureusement, ne touche pas seulement les adolescents.
Rappelons que Pokémon GO est donc un jeu qui se télécharge sur smartphones et qui a été déployé progressivement dans le monde. Il repose sur de la réalité augmentée pour que les joueurs puissent capturer des Pokémons dans le monde réel. Le risque de marcher avec son smartphone sans regarder où l'on va n'est pas pris en compte par le CERT-FR. Pourtant, lampadaires et escaliers peuvent se trouver sur le chemin des Pokémons.
Les pirates s'en donnent à coeur joie
Les passionnés peuvent être tentés (ou avoir été tentés en France) de télécharger le jeu sur une plate-forme non-officielle afin d'en bénéficier plus rapidement. C'est évidemment une très mauvaise idée : ces applications pirates peuvent en effet contenir une série de malwares, aussi bien de simples redirecteurs d'adresses web que des ransomwares. Le CERT-FR attire également l'attention sur le niveau de permissions demandées : la version initiale sur iOS du jeu était très exigeante. L'éditeur (Niantic) a, depuis, revu sa copie.
A l'image de la CNIL il y a quelques jours, le CERT-FR rappelle également que le principe même de ces jeux gratuits est de collecter des données sur les utilisateurs pour les cibler publicitairement. Le tracking géolocalisé des utilisateurs est donc opéré par l'éditeur.
Le SI d'entreprise potentielle victime collatérale
Tant que l'utilisateur de Pokémon GO n'utilise le jeu que sur un terminal strictement personnel et en dehors des heures de travail, on peut raisonnablement estimer le risque très faible pour les entreprises. Malheureusement, le terme même de « strictement personnel » devient de moins en moins d'actualité dès que l'on parle de smartphones. L'usage en mode BYOD est devenu la règle, ne serait-ce que pour consulter sa messagerie. Un ransomware ou un autre type de virus peut donc se glisser dans la messagerie d'entreprise via une application piratée. Le sujet n'en est que plus grave si le terminal utilisé possède de vraies applications professionnelles, même avec une compartimentation.
PublicitéEn matière d'intelligence économique, rappelons que le tracking géolocalisé d'un utilisateur peut être générateur de très nombreuses informations intéressantes (clients visités, tâches effectuées...). Dans les secteurs sensibles, des précautions particulières s'imposent donc.
Si l'on ne peut pas interdire aux gens d'utiliser un jeu en dehors des heures de travail sur un terminal personnel sans utiliser ses coordonnées professionnelles (mail notamment), le CERT-FR insiste cependant sur la nécessité de n'installer que la version officielle issue des magasins applicatifs officiels. Il faut également vérifier que les permissions demandées ne sont pas excessives, le cas échéant il convient de révoquer les accès superflus. Il est bien sûr nécessaire de ne pas utiliser un terminal où le jeu est présent dès lors qu'un géotracking pourrait être gênant. Enfin, règle de bon sens, il convient de se créer une identité spécifique avec une adresse mail dédiée pour s'enregistrer sur le jeu.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire