e-novinfo cyber security
Piratage de MoveIt, fuite de données Amazon
Comment envoyer un fichier de manière sécurisée ?
Hack de MoveIt et fuites de données en cascade
Fin 2024, un cybercriminel connu sous le pseudonyme de Nam3L3ss a mis en vente sur BreachForums (un forum très fréquenté par les hackers en quête d’informations compromises) une base de données appartenant à Amazon.
La source de cette fuite ?
MoveIt, un logiciel de transfert de fichiers, victime du plus important piratage de 2023.
En exploitant une faille critique dans MoveIt, des hackers ont compromis les informations sensibles de ses clients. Ce piratage massif a entraîné une cascade de fuites de données, parmi lesquelles celles d’Amazon, mais pas seulement. En théorie, toutes les entreprises utilisant MoveIt ont vu leurs informations compromises et mises en vente sur le marché noir.

Ce que cet incident révèle
Fuite de données : un risque souvent oublié
Les entreprises se concentrent souvent sur la protection contre la perte de données, notamment au travers de sauvegardes redondantes. Elles sous-estiment souvent le risque de divulgation publique, ainsi que les conséquences financières et les dommages d’image qui en découlent.
Pourtant, en cas de cyberattaque, les données sont souvent divulguées sur Internet, en particulier lors de ransomwares. Ainsi, le véritable risque aujourd’hui n’est plus seulement la suppression des données, car les entreprises sont de plus en plus protégées contre ce type d’attaque. La menace réside désormais également dans le vol et la fuite de données.
Envoi de fichiers : attention aux dangers
Au-delà du risque d’attaque directe, cet incident révèle l’émergence d’une autre problématique : l’utilisation de plus en plus d’outils au quotidien, parmi lesquels des solutions de transfert de fichiers telles que MoveIt. Ces services sont largement utilisés aussi bien dans notre vie privée que professionnelle, le plus souvent sans une réelle réflexion sur leur sécurité.
Comment envoyer un fichier de manière sécurisée ?
Comment utiliser ces outils en limitant le risque de compromission de vos données ?
Voici les étapes clés à suivre pour sécuriser vos transferts de fichiers.
1. Choisir la bonne solution d'envoi
En premier lieu, il est important de bien choisir la solution que vous allez utiliser.
À quel point avez-vous confiance dans l’outil ? Pour quelles raisons ?
- Lieu d’hébergement des données ?
- Réputation de l’entreprise qui édite la solution ?
- Utilisation par votre entourage ?
Vérifiez dans les conditions générales si la société a le droit de réutiliser ou de vendre vos données.
- Pas de conditions générales accessibles ? Passez votre chemin.
2. Sécuriser l'envoi de vos fichiers
Les risques de ces transferts :
- Le lien généré pour le téléchargement de vos fichiers peut être deviné ou partagé accidentellement.
- L’algorithme peut être décrypté pour accéder au lien de téléchargement.
- Les employés du service en ligne peuvent possiblement avoir accès aux fichiers transférés.
Solution : chiffrer les données avant l’envoi
Pour assurer la confidentialité de vos fichiers, il est recommandé de chiffrer les fichiers avant de les envoyer. Pour cela, il vous suffit de placer vos fichiers dans un dossier compressé ZIP et de le verrouiller avec un mot de passe particulièrement long et complexe.
Pourquoi un mot de passe complexe ?
Dans le cas où une personne malveillante obtiendrait votre fichier, elle disposerait de tout son temps pour tenter de casser ce mot de passe (contrairement aux cyberattaques lors desquelles le temps est souvent compté).
Créer un fichier ZIP et le verrouiller avec un mot de passe : marche à suivre
Les outils intégrés par défaut sur Windows et macOS ne permettent pas d’ajouter un mot de passe à un fichier ZIP. Vous aurez ainsi besoin d’un logiciel tiers tel que 7-Zip, WinRAR ou WinZip. La marche à suivre sera semblable quel que soit l’outil que vous choisissez.
Voici par exemple celle pour 7-Zip :
- Téléchargez 7-Zip.
- Faites un clic droit sur le fichier ou dossier que vous souhaitez compresser.
- Choisissez « Ajouter à l’archive… ».
- Une fenêtre s’ouvre. Sous « Format de l’archive » sélectionnez le format ZIP.
- Dans la zone « Chiffrement », entrez un mot de passe long et complexe.
- Cliquez sur OK. Vous avez maintenant un fichier ZIP protégé !
En option : raccourcir votre mot de passe
L’envoi d’un mot de passe particulièrement long et complexe n’étant pratique ni pour vous ni pour votre destinataire, une fois votre ZIP verrouillé avec un mot de passe long, vous pouvez passer par kPaste. kPaste est un service suisse permettant d’envoyer des informations avec des options de sécurité renforcées. Ici, nous l’utiliserons pour protéger notre mot de passe complexe avec un mot de passe plus simple, plus facile à transmettre à votre destinataire.
- Collez votre mot de passe complexe dans kPaste.
- Activez l’option « Protéger l’accès par un mot de passe » et choisissez un mot de passe simple.
- En cas de dossier particulièrement sensible, activez l’option « supprimer après la première lecture » afin de limiter l’exposition du mot de passe.
3. Transmettre le mot de passe de manière sécurisée
Utiliser plusieurs canaux pour transmettre les informations sensibles permet d’augmenter la sécurité du transfert. L’envoi des informations par des moyens distincts réduit le risque qu’un seul piratage compromette l’ensemble de la communication.
Ainsi, le mot de passe nécessaire pour décompresser le fichier doit impérativement être transmis par un canal différent de celui utilisé pour partager le lien d’accès au fichier. Le lien d’accès étant le plus souvent envoyé par email, vous pouvez par exemple envoyer le mot de passe par SMS. Raison pour laquelle l’option de le raccourcir au préalable est intéressante.
Dois-je protéger chaque envoi ?
Si la réponse est non, alors ces mesures de protection supplémentaires s’imposent.
La réactivité est un enjeu majeur en cybersécurité. C’est pourquoi, chez e-novinfo, nous effectuons une veille technologique poussée afin de se montrer aussi proactifs que possible.
N’hésitez pas à nous contacter pour en savoir plus sur la manière dont nous pouvons vous aider à renforcer la cybersécurité de votre entreprise.
« * » indique les champs nécessaires