Cet article attire notre attention sur un risque cyber encore largement ignoré par les organisations : le pixel invisible. Cette technique, couramment utilisée par les acteurs du Big Data, a fait l'objet d'une étude de cas (en lien dans l'article) pour déterminer comment elle pourrait servir à collecter subrepticement les données personnelles des usagers d'un service de santé.
(Nd0 : un pixel invisible - appelé également pixel espion ou balise web - est un pixel qui permet de tracker les internautes ouvrant une page web ou un email dans laquelle l'image contenant ce pixel est intégrée, ce qui suffit à contacter le serveur sur lequel l'image est stockée. En retour, celui-ci envoie un cookie de tracking à l'internaute en même temps que l'image demandée. Détails
ici. C'est pourquoi la plupart des boîtes mail bloquent les images par défaut.)
Le scenario de cette étude postule que 4 ans auparavant, une entreprise tierce a intégré un pixel invisible lors d'une campagne de marketing. Oublié, le pixel est resté sur une page du site du service de santé depuis, continuant indéfiniment à collecter les données de santé des patients, et générant de ce fait des infractions aux règlements sur la protection de la vie privée (ex : RGPD en Europe), et/ou sur la sécurisation des moyens de paiements (PCI-DSS), et/ou sur les contraintes particulières à un secteur d'activité (ex : HIPAA pour le secteur hospitalier aux E-U). Sans compter la création d'une vulnérabilité à portée d'intrusion...
Les recommandations de Reflectiz, l'entreprise de cybersécurité qui a publié cette étude de cas, consistent à surveiller le trafic généré par les pages du site, à cartographier les composants web accédant à des données sensibles, à vérifier régulièrement le fonctionnement du dispositif de sécurité, à identifier et bloquer les tierces parties accédant sans consentement aux données des visiteur·euse·s.
Un article de Reflectiz sur
The Hacker News
