Contournement des mesures de sécurité – Le Shadow IT Corporatif des PME… On fait quoi?

Mon premier virement Interac date de quelques années. À l’époque, le gars de sécurité en moi s’est posé la question : Comment ça marche? Comment ça peut être sécuritaire d’envoyer de l’argent par courriel?

Rapidement j’ai compris et j’ai adhéré au concept. Ça prend la double authentification, soit un code « secret », un code à usage unique quand même! Et ça prend quelque chose que tu possèdes (bon j’étire un peu, c’est plutôt un autre truc que tu connais), mais ça te prend une adresse courriel valide. Donc la combinaison qui fait que ce soit sécuritaire est que la personne qui envoi doit fournir un code secret au destinataire, et bien saisir son adresse courriel ou numéro de téléphone… et c’est bon juste une fois et si le code secret 3 fois est en erreur tout tombe à l’eau… Génial, il faudrait donc compromettre l’adresse destination pour « voler l’argent », mais encore là ça prendrait le code unique, donc le risque n’est pas si intense.

Et là ce matin je devais faire un paiement à une PME, pour un truc que je me suis acheté, d’un certain montant. On est en COVID, ils ne prennent pas la carte de crédit, et je n’ai pas le goût de gérer ma limite de transaction par débit… Faire un chèque visé encore moins…Et me promener avec quelques milliers de dollar en poche ne me fait pas tant tripper (sans compter les 2-3 voyages au guichet pour y arriver) … Je suis donc la procédure (une belle procédure PDF) pour le virement Interac et on me demande de faire le virement à une adresse virementNOMDELACOMPAGNIE@gmail.com, et d’utiliser le code secret NOMDELACOMPAGNIE… Une belle procédure montée de bonne foi, fort probablement par la personne des finances, probablement le bon coup de la semaine, le « ça va nous simplifier la vie », le « les clients vont aimer ça », le « bonne idée c’était compliqué avec des codes différents » …

Mais non… c’est un contournement de la mesure qui fait la sécurité du processus : il n’y a plus de code secret unique et on combine le tout à une adresse non corporative en dehors de l’organisation… Et si cette adresse GMAIL était corrompue? Si la personne des finances quittait ou qu’elle utilisait ce compte sur un ordinateur partagé à la maison sans mesures de protection, si ce mot de passe était dérobé? Est-ce que ce mot de passe est le même que mon fameux code secret? Si encore pire ce n’était pas la personne des finances mais quelqu’un qui avait usurpé sa boîte et fait un envoi de « sa fausse procédure » juste au bon moment, celui où tu attends les instructions de paiement?

Bon, je vous écris maintenant parce je l’ai fait quand même, parce que même si j’ai des malaises (trop souvent) avec ces failles et ces contournements, je dois parfois quand même le faire… Parce que si je veux avoir ma moto je dois donner mon NAS au gars qui gère les finances du concessionnaire (en l'écoutant me donner son opinion sur les incidents de sécurité...) dans un bureau ouvert avec des piles de dossiers papiers, si je veux essayer la voiture au concessionnaire il prend une photo de mon permis et sinon c’est compliqué, et qu’à toutes les fois où j’ai posé la question pour me rassurer : C’est quoi votre politique de PRP ou de sécurité ça fait un silence, on me renvoie vers des trucs qui n’ont pas rapport pis au bout du compte mon seul choix est de changer pour un autre fournisseur qui n’est pas mieux, ou cache mieux ses failles… Et là je dois changer mon cellulaire et le revendeur m’a envoyé un formulaire web qui demande mes informations personnelles, mes informations de cartes de crédit, mon NAS et mes informations de crédit en plus de mon mot de passe de la compagnie de téléphone et je ne vous dirai pas la réponse que j’ai eu en demandant les politiques…

Pour NOMDELACOMPAGNIE, lorsque j’aurai récupéré mon bien, je vais transmettre ce message au président de l’entreprise et lui donner 2-3 hint, mais pour le reste on fait quoi?