Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Google Sites API et la fuite de données sensibles

Google Sites API et la fuite de données sensibles
2009-09-292013-04-11bonnes pratiquesfr
Suite à notre article sur le DataLiberationFront, Google vient d'annoncer la mise à disposition de la Google Sites API afin de faciliter la migration de sites collaboratif Microsoft SharePoint et Lotus Notes vers son service d'hébergement Google Sites. En quoi ces applications "en ligne"...
Publié le 29 Septembre 2009 par Jean-François Audenard dans bonnes pratiques

Suite à notre article sur le DataLiberationFront, Google vient d'annoncer la mise à disposition de la Google Sites API afin de faciliter la migration de sites collaboratif Microsoft SharePoint et Lotus Notes vers son service d'hébergement Google Sites.

Une initiative qui annonce les débuts d'une guerre de tranchées entre fournisseurs de services "In The Cloud" pour nos précieuses données. A contrario du contenu Internet, il s'agit ici pour Google de mettre la main sur les données internes des entreprises : Avec un Google Pack à environ 40USD/utilisateur incluant tous les outils en ligne de Google, la guerre va être rude.

En quoi ces applications "en ligne" complexifient-elles et augmentent-elles les risques de fuite de données sensibles ?

Cela repose légitimement la question de la confidentialité des informations hébergées dans le "cloud". Que diriez-vous de découvrir un beau matin que des données confidentielles concernant l'un de vos clients se trouvent en libre accès sur Internet ? C'est possible : Je l'ai vu de mes yeux eu début de cette année : Une équipe d'opérationnels en charge d'un environnement client avaient publié par "mégarde" tous les détails techniques et contacts internes sur un site "OfficeLive".

Ubiquité du navigateur pour des applications internes et externes
Toutes les applications étant "webisées", comment s'assurer qu'un employé sache qu'il consulte ou modifie sur un site collaboratif localisé sur Internet et non pas sur l'Intranet ? Hormis l'URL dans la barre du navigateur, qui reste à mon avis assez "obscure" pour de nombreux utlisateurs, rien ne l'indique explicitement. Sans en connaitre précisement les tenants et aboutissants, je ne pense pas que les concepts de "zones de confiance" soit souvent utilisés (mais je peux me tromper).

Mécanismes d'authentification trop simples pour les applications "In the Cloud"
Sauf quelques exceptions, l'authentification des utilisateurs sur des applications "in the Cloud" sont basées sur un simple couple login/password : Vos données déposées sur le cloud sont donc "de facto" exposées au risque des mots de passe faibles/triviaux ou alors c'est le même password qui est utilisé par la personne pour des dizaines de sites qu'ils soient professionnels ou personnels. Et ce n'est l'utilisation d'un certificat SSL serveur qui vont vous sauvez : Si vous en êtes là, vous êtes en zone à risques ! (C'est ce que j'appelle le "syndrome du cadenas en bas à droite").

Le mot final
Peut-être que c'est le bon moment de regarder ce que peuvent vous apporter des technos comme DLP (Data Loss Prevention) ?
En complément, sensibilisez vos utilisateurs à cette problématique et garder à l'esprit qu'interdire n'est pas la solution finale : Donnez-leur les outils et apprenez-leur à s'en servir à bon escient.

Update (29/09/2009, 14h37) : Un outil (google-sites-liberation) pour importer/exporter des sites hébergés sur Google Sites est disponible en téléchargement depuis Google Code.

3 Commentaires

  • 9 Octobre 2009
    2009-10-09
    par
    Bonjour. Mes excuses pour cet énorme délai de réaction à valider votre commentaire.
    La sécurité est-elle un cache-sexe de l'incompétence ? C'est effectivement une question que l'on peut se poser. :-)
    Que les choses soient claires : Je ne suis pas pour le bridage ou le blocage à outrance, bien au contraire. La sécurité ne doit pas être un frein mais un moyen qui permet de travailler dans de meilleures conditions. Il est vrai qu'un trop grand nombre de DSI/responsables sécurité se réfugient dans cette apparente facilité. Ils finissent par s'en mordre les doigts car tot ou tard les utilisateurs trouvent les moyens pour contourner les mesures de contrôle trop drastiques.
    D'un autre coté, si les utilisateurs ne cliquaient pas sur tous les liens présents dans les spam, n'installaient pas de logiciels douteux sortis d'où on ne sait... ca aiderait aussi..
    Mais quel monde idéal !
  • 1 Octobre 2009
    2009-10-09
    par
    Nik Wood
    Les cartes de Google ne sont pas très personnalisation bon et de manque, les meilleurs viseurs de magasin que j'ai vu si sont loin les affaires de ViaMichelin de forme un quand l'a utilisé le viseur de magasin orange dans le Royaume-Uni la carte de Google m'a montré les emplacements à 15 miles qui étaient en fait plus de 50 miles ! Très mauvais et ils devraient enfoncer pour chercher des moteurs
  • 29 Septembre 2009
    2009-10-09
    par
    Renaud
    Ohhh oui, bridons tous, et en premier les utilisateur au nom de la sacro-sainte sécurité.
    La sécurité, cache sex de l'incompétence.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage