Le BSI met actuellement en garde contre une possible violation de la protection des données lors de l’utilisation de VirusTotal. Outre le risque de protection des données, d’autres informations sensibles appartenant à votre propre organisation ou provenant de tiers risquent également d’être divulguées à des tiers.
Qu’est-ce que Virus Total ?
VirusTotal est un service fourni par Google et sous accessible. Par exemple, vous pouvez utiliser le service pour vérifier les adresses Web suspectes (URL) avant de les appeler dans le navigateur de votre propre système. Une recommandation que nous faisons plus souvent, par exemple, dans le cadre de nos formations et webinaires.
En plus de cette vérification d’URL, VirusTotal propose également de télécharger des fichiers pour une vérification en ligne par un grand nombre de scanners de virus bien connus. Et là est le hic. En plus d’être utilisé directement dans le navigateur, VirusTotal propose également des services commerciaux qui ne nécessitent pas de téléchargement manuel, mais à la place, la vérification est effectuée automatiquement en arrière-plan.
“Ce service est souvent utilisé par des particuliers et des entreprises pour vérifier des fichiers suspects afin d’obtenir des résultats plus fiables qu’avec un seul scanner en raison du grand nombre de programmes antivirus.”, selon l’Office fédéral de la sécurité de l’information.
Quel est le problème ou la violation de données lors de l’utilisation de VirusTotal ?
Si des fichiers contenant des données personnelles sont téléchargés ou vérifiés, il y a généralement un traitement de commande conformément à l’article 28 DSGVO. Cela doit être réglé et convenu correctement, y compris le test TOM, AVANT d’utiliser le service. De plus, selon le BSI, les données sont transmises à de nombreux fournisseurs AV/scan basés en dehors de l’UE. Dans le contexte de la discussion actuelle sur les transferts vers des pays tiers, cela n’est pas entièrement sans problème.
Et au fait : même si des fichiers sans données personnelles sont téléchargés, il existe un risque non négligeable. Notamment lorsqu’il s’agit d’informations confidentielles ou sensibles de l’organisation (ou d’un client / citoyen / client). Ce fichier est heureusement partagé avec tous les fournisseurs connectés. Voulez-vous cela pour les secrets commerciaux ou organisationnels ? Plutôt pas.
Qu’est-ce qui peut aider?
- Sensibiliser les collaborateurs à ce problème fondamental de sécurité lors de l’utilisation du service ou les sensibiliser (non, le papier seul ne suffit pas !)
- Prendre des dispositions pour savoir si et, le cas échéant, quels fichiers peuvent faire l’objet d’un contrôle par le service (par exemple, si le statut de confidentialité est « public »)
- Ou, comme le conseille le BSI, ne travaillez qu’avec les valeurs de hachage des fichiers (difficile, mais faisable)
Les questions aux agents de sécurité à la page 3 de la déclaration du BSI sur le sujet offrent un soutien supplémentaire ici.
