En matière de sécurité et de responsabilité, les médias sociaux représentent, depuis des années, le risque le plus important et le plus dynamique pour les entreprises. Et le développement des médias sociaux n’a fait malheureusement, qu’accroître cette menace. Identifié pour la première fois en 2016, ce risque combine, dans l'environnement de l'entreprise, la stéganographie, c’est-à-dire la dissimulation de l'information dans un média de couverture, des images numériques dans le cas présent, avec les médias sociaux. Même si la stéganographie et les médias sociaux sont loin d'être récents, la combinaison des deux en tant que vecteur de distribution de logiciels malveillants est inédite.
Connu sous le nom d'Instegogram, ce moyen de compromission consiste ainsi à utiliser les réseaux sociaux, Instagram en particulier, comme site de commande et de contrôle d'un acteur malveillant. Instegogram est unique en ce sens qu'une fois le système distant compromis, il est possible de poster des images codées à partir d'un serveur de commande avec l'API d'Instagram. Le système distant téléchargera l'image, la décodera, exécutera les commandes codées, codera les résultats dans une autre image et les renverra sur Instagram. Créée à des fins de recherche, l’utilisation potentielle du stratagème Instegogram dans le cadre d'une attaque de logiciels malveillants pose la question de savoir qui serait responsable d'une telle attaque.
L’exonération de responsabilité remise en cause
Aux Etats-Unis en vertu de la section 230 du Communications Decency Act (CDA), les entreprises qui proposent des services d'hébergement de sites web sont généralement exonérées de toute responsabilité pour la plupart des contenus que les clients ou les utilisateurs malveillants placent sur les sites web qu'elles hébergent. Cependant, cette exonération peut cesser si le site web contrôle le contenu de l'information. Une entreprise qui utilise des médias sociaux pour créer l'image ou développer l'information, contrôlerait cette information et pourrait donc ne pas être protégée. En d'autres termes, si un fournisseur de services est « responsable, en tout ou en partie, de la création ou du développement du contenu incriminé », ses actions pourraient ne pas être couvertes par les protections du Communications Decency Act.
La question de savoir si les protections de la règlementation CDA s'étendent aux dommages causés par les logiciels malveillants reste largement ouverte. Les entreprises pourraient donc être responsables des dommages causés à des tiers par une attaque Instegogram, même si elles ne savaient pas que l'image numérique était infectée. Comme il n'existe pas d'immunité statutaire pour protéger les utilisateurs de médias sociaux, une entreprise pourrait être responsable de tout dommage causé par l'infrastructure de commande et de contrôle intégrée d’un pirate criminel.
Des précautions de sécurité à prendre
Ces dernières années, l'utilisation des plateformes de médias sociaux pour les cyberattaques a augmenté et les entreprises sont devenues plus vulnérables aux attaques. Celles-ci doivent donc prendre les précautions nécessaires et mettre en place des mesures de sécurité pour minimiser les risques de cyberattaques. Elles devraient aussi sensibiliser leurs employés aux menaces potentielles des médias sociaux et leur expliquer pourquoi ils doivent éviter de cliquer sur des liens suspects ou de télécharger des pièces jointes inconnues. De plus, il est essentiel de maintenir les logiciels à jour, d'installer des antivirus et des pare-feux, et de limiter l'accès aux informations sensibles. La mise en œuvre de ces mesures peut réduire la probabilité pour les entreprises d'être victimes de cyberattaques. Par ailleurs, les entreprises devraient se rapprocher de leurs courtiers d'assurance et de leurs assureurs pour revoir leurs polices d'assurance et évaluer la couverture de ce risque. Elles doivent savoir qu'un certain nombre de polices d'assurance peuvent couvrir ces responsabilités, y compris celles associées aux risques cyber, aux erreurs ou omissions, ou celles couvrant des responsabilités liées aux médias.