Le Trello est un outil inspiré de la méthode kanban qui permet de créer des listes de tâches organisées en cartes et tableaux. Ce service de gestion de projet est utilisé par plus de 35 millions de personnes et 80 % des entreprises du Fortune 500. Pour l’utiliser, il faut faire attention : si le conseil est public, il peut exposer des données sensibles comme les mots de passe et les numéros de cartes de crédit sur Google.
Le chef de projet Mateus Vicente, un lecteur de PerlmOl, nous a mis en garde contre ce problème : certains utilisateurs de la franchise Trello laissent des identifiants de connexion, des mots de passe, des numéros de cartes et d’autres données confidentielles sur les tableaux publics, sans savoir qu’ils sont indexés par Google. Cela signifie qu’une recherche de “mot de passe”, “jeton” et autres termes similaires donne des résultats avec ce type d’informations sensibles.
Dans une autre boîte, trouvée par Mateus, vous trouverez le login et le mot de passe Instagram et Facebook pour les clients d’une entreprise française de communication numérique. Dans un troisième tableau, une société de marketing a exposé les données de la carte d’un client qui a acquis une campagne publicitaire en ligne.
Sommaire
Trello définit chaque conseil comme “privé” par défaut
Ce problème n’est pas unique à la France : l’année dernière, le chercheur en sécurité Brian Krebs a trouvé un tableau public créé par les développeurs d’Uber dans la région Asie-Pacifique, comprenant des mots de passe et des liens vers des documents internes de Google Docs. La société a défini le conseil comme étant privé et a informé deux utilisateurs sud-américains dont les données étaient exposées.
À l’époque, Michael Pryor, co-fondateur de Trello, a rappelé que les conseils sont réglés par défaut sur “privé” et doivent être manuellement changés en “public” si l’utilisateur le souhaite. “Nous nous efforçons de garantir que les conseils publics sont créés intentionnellement, et nous créons des garanties pour confirmer l’intention de l’utilisateur avant de la rendre publiquement visible”, a-t-il déclaré à Krebs sur la sécurité.
Dans la FAQ, Trello explique qu’un tableau blanc public “est visible par tout le monde sur Internet et apparaîtra sur les moteurs de recherche comme Google… toute personne ayant le lien peut le voir, même si elle n’a pas de compte Trello”.
Une fois que le forum est indexé, il peut être difficile de le supprimer : “une fois que le forum devient privé, nous vous avertissons du statut correct du lien vers Google (c’est-à-dire une erreur 404), mais Google doit savoir que c’est permanent”. C’est pourquoi Trello recommande d’utiliser directement le support de Google pour supprimer le lien.
L’ONU et le gouvernement britannique disposaient de données sur les conseils d’administration publics
“Nous avons contacté tous les employés, en leur rappelant les risques d’utiliser une plateforme tierce pour partager du contenu, et en prenant les précautions nécessaires pour s’assurer qu’aucun contenu confidentiel n’est public”, a déclaré un porte-parole des Nations unies à The Intercept.
Quelque chose de similaire s’est produit avec le gouvernement britannique : 10 conseils publics Trello ont exposé des données secrètes, telles que les mesures anti-terroristes, pendant quatre ans. ZDNet note que Trello est une source importante de fuites de données, tout comme le service en nuage Amazon S3 et les installations ElasticSearch.
Ces services n’ont pas fait l’objet de fuites de données en raison de failles de sécurité : ils étaient simplement mal configurés, tout comme les tableaux publics de Trello. Si vous utilisez le service, apprenez à modifier la visibilité d’un tableau ? et évitez de sauvegarder les mots de passe en texte clair.
Merci, Matthew !