Les autorités indiennes déconseillent l’usage de WhatsApp Web sur les ordinateurs et réseaux d’entreprise. Elles évoquent des risques concrets touchant à la protection des données et à la sécurité des systèmes internes.
- Les autorités indiennes déconseillent d’utiliser WhatsApp Web sur les postes et réseaux d’entreprise, car l’environnement professionnel peut compromettre la confidentialité.
- Un poste connecté au réseau d’entreprise peut exposer messages, fichiers et captures d’écran aux administrateurs ou malwares, facilitant la propagation interne.
- Les risques réels incluent l’installation de malwares via pièces jointes, le phishing et des passerelles entre téléphone et Wi‑Fi professionnel; CERT‑In signale de nombreuses intrusions.
En Inde, le ministère de l’Électronique et des Technologies de l’information, avec le soutien de l’équipe Information Security Awareness (ISEA), met en garde les salariés contre l’utilisation de WhatsApp Web au bureau. Selon leur recommandation, ça n'est pas l'app en elle-même qui pose problème mais l’environnement dans lequel elle est utilisée. Un poste relié au réseau interne permet parfois à un administrateur d’accéder à des échanges privés, à des fichiers ou à des documents ouverts sur l’écran. Les experts rappellent aussi que des fichiers piégés ou des liens frauduleux partagés par ce biais peuvent introduire un logiciel malveillant capable de circuler dans tout le système. Même la simple connexion du téléphone personnel au Wi-Fi de l’entreprise peut, dans certaines configurations, exposer des données qu’on pensait pourtant isolées.
- Synchronisation des conversations sur plusieurs appareils.
- Gestion des conversations identique à la version mobile.
- Raccourcis claviers.
L’utilisation sur un poste d’entreprise rend les échanges plus visibles
Lire ses messages WhatsApp sur un grand écran facilite la consultation et l’envoi de pièces jointes. Pourtant, effectuer cette opération depuis un ordinateur du bureau signifie que ces données transitent par un environnement géré par l’entreprise. Dans certains services, des outils permettent d’enregistrer les actions menées sur la machine : captures d’écran, ouverture de documents, téléchargements ou navigation web.
Un logiciel espion installé à la suite d’une attaque antérieure peut également collecter des données dès que l’application web est ouverte. L’entreprise peut aussi avoir mis en place un système de supervision réseau capable de suivre en détail l’activité réalisée sur son matériel. Dans ce cas, tout échange ou fichier passe par un canal observé, ce qui augmente les chances d’accès par des tiers internes. L’ISEA insiste sur le fait qu’un ordinateur fourni par l’employeur n’offre pas la confidentialité d’un appareil strictement personnel.
Les contenus échangés peuvent suffire à infecter un réseau complet
WhatsApp Web donne accès aux mêmes messages que sur le téléphone, y compris aux liens, PDF, images ou vidéos reçus. Un seul fichier téléchargé depuis une conversation peut installer un programme malveillant qui agit sans signe visible. Ce code peut ensuite explorer le contenu du disque, copier des documents ou envoyer des données vers un serveur externe.
Dans un environnement connecté à des ressources partagées, cette intrusion prend une autre dimension, à savoir que les éléments infectés peuvent atteindre les disques communs ou les systèmes utilisés par plusieurs équipes. Le phishing accentue encore ce risque. Un message qui imite une demande interne urgente peut convaincre un salarié de communiquer ses identifiants ou d’accéder à un site frauduleux. Selon l’ISEA, l’utilisation simultanée du Wi-Fi de l’entreprise par le téléphone et par le poste de travail peut aussi introduire des passerelles techniques permettant de récupérer certaines informations stockées sur l’appareil mobile.
En 2024, le CERT-In a traité plus de 2 millions d’incidents, dont près de huit sur dix correspondaient à des scans ou repérages réseau non autorisés. L’organisme public a également détecté plus de 1 200 cas d’intrusion accompagnée de propagation de malwares.
Source : Financial Express, CERT
