Il est temps d'adopter un code de conduite pour les fournisseurs d'outils d'accès à distance.

Ravir et protéger nos clients : Réflexions de Mark

les fournisseurs d'accès à distance devraient adopter un code de conduite

Toute personne possédant un téléphone portable ou un compte de messagerie électronique connaît les tentatives d'escroquerie. Une voix ou un courriel prétendant provenir d'une organisation légitime - par exemple la sécurité sociale, Amazon.com ou une banque - vous informe d'un problème sur votre compte, d'un remboursement qui vous est dû ou de toute autre chose qui semble nécessiter votre attention immédiate.

Vous vous êtes déjà demandé comment fonctionnent ces arnaques omniprésentes par téléphone ou par courrier électronique, et comment les gens peuvent tomber dans le panneau ?

Voici une vidéo qui donne un aperçu de la situation : https://youtu.be/VrKW58MS12g. Elle dure un peu plus de 20 minutes et implique des bombes à paillettes, des livraisons de colis, une surveillance sous couverture et de nombreux autres rebondissements. Si vous n'avez pas envie de regarder toute la vidéo, voici ce que je veux que vous en retiriez : L'une des clés du succès de ces escrocs est l'utilisation du logiciel d'accès à distance AnyDesk.

De même, cet article du New York Times Magazine décrit le rôle que le logiciel TeamViewer a joué dans une cyber-escroquerie de 2019 sur une femme âgée du Tennessee. Et les escroqueries de ce type sont un gros business. L'article du NY Times rapporte que l'Internet Crime Complaint Center du FBI chiffre les pertes totales des victimes d'escroqueries en 2019 à 3,5 milliards de dollars, contre 1,4 milliard en 2017.

Il ne s'agit pas de cas isolés dans lesquels un logiciel d'accès à distance a été impliqué dans une escroquerie. En 2016, on a découvert que le ransomware dit Surprise avait atteint ses premières victimes par le biais du logiciel d'accès à distance TeamViewer. Selon le magazine InfoSecurity : "...le développeur du ransomware Surprise a pu coopter les informations d'identification d'un utilisateur de TeamViewer, puis a utilisé ces informations d'identification pour accéder à d'autres utilisateurs de TeamViewer et télécharger le fichier malveillant via TeamViewer."

Toujours selon le même article de InfoSecurity : "Le vecteur d'attaque est similaire aux cas d'applications d'accès et de contrôle à distance, notamment LogMeIn et JoinMe, utilisées par les pirates pour accéder aux réseaux d'entreprise afin d'installer le tristement célèbre malware Backoff, qui vole les données des points de vente."

Responsabiliser les fournisseurs d'accès à distance

Il peut être tentant d'en conclure que le processus d'accès à distance lui-même est problématique. Mais en tant que PDG d'un fournisseur de logiciels d'accès à distance, je tiens à préciser que, s'il est impossible de mettre fin à toutes les cyber-escroqueries possibles, le suivi responsable des utilisateurs de logiciels d'accès à distance par permet d'en prévenir un grand nombre.

Voici le problème. Plusieurs vendeurs d'outils d'accès à distance proposent des produits freemium qui permettent aux gens de télécharger et de commencer à utiliser leurs logiciels sans demander aucune information aux utilisateurs : Aucune adresse électronique ni création de compte ne sont requises pour commencer à utiliser leurs produits. Comme rien n'est jamais collecté auprès des téléchargeurs, rien n'est validé. Par conséquent, ces fournisseurs d'accès à distance sont devenus des outils populaires parmi les escrocs. Fournir l'accès au logiciel de cette manière est tout simplement socialement irresponsable.

Ironie du sort, ces vendeurs sont fiers d'annoncer aux investisseurs que leurs logiciels sont téléchargés des millions de fois par mois ; cependant, une grande partie de ces téléchargements sont effectués par des escrocs, et leurs outils sont utilisés pour attaquer des victimes dans le monde entier.

Adoptons un code de conduite parmi les fournisseurs d'accès à distance

La raison pour laquelle ces outils d'accès à distance sont populaires auprès des escrocs est que les fabricants de ces logiciels ont cherché à attirer le plus grand nombre d'utilisateurs possible vers leurs produits en proposant des téléchargements instantanés sans poser de questions ni valider d'informations. Ils ont choisi de ne pas prendre les mesures nécessaires pour protéger les gens des escrocs.

Chez Splashtop, nous pensons que les fournisseurs d'outils d'accès à distance ont la responsabilité sociale de faire tout ce qui est raisonnable pour empêcher les escrocs d'utiliser nos outils.

L'adoption d'un " code de conduite " pour les fournisseurs d'accès à distance pourrait commencer par :

  • Valider tous les utilisateurs, même pour les essais gratuits. Si vous avez une maison à vendre, vous ne distribuez pas les clés à chaque personne qui souhaite la visiter. Alors pourquoi certains fournisseurs d'accès à distance distribuent-ils des essais gratuits de leur logiciel sur la base d'une simple demande anonyme, sans valider l'identité de l'auteur de cette demande ? Les fournisseurs d'accès à distance doivent exiger l'enregistrement des utilisateurs, ainsi que la validation de leur adresse électronique et d'autres informations d'identification, avant d'autoriser l'utilisation de leurs outils, qu'il s'agisse d'essais gratuits ou d'achats payants.
  • Surveillance des abus potentiels de la plateforme. Splashtop a depuis longtemps mis en place des méthodologies pour surveiller, identifier et être alerté des escrocs potentiels utilisant nos produits logiciels. Par exemple, lorsque notre système détecte qu'un utilisateur d'essai se comporte de manière anormale, par exemple en ayant plusieurs sessions de connexion à des ordinateurs situés dans différents pays ou états, une alerte est automatiquement générée. La surveillance du comportement des utilisateurs à l'essai pour aider à identifier les escrocs devrait être une pratique standard dans notre secteur.

Prendre ces mesures nécessite un investissement, mais nous considérons que c'est un aspect important pour être un fournisseur d'accès à distance responsable. En instaurant un climat de confiance avec nos utilisateurs, de nombreuses grandes marques - dont Disney, Marriott, FedEx, UPS, Toyota, les Centres américains de contrôle et de prévention des maladies (CDC), Stanford Health Care, Harvard Medical School, Turner Broadcasting et Tapestry (société mère des marques de mode de luxe Coach, Kate Spade et Stuart Weitzman) - ont adopté Splashtop comme solution d'accès à distance.

Découvrez pourquoi Splashtop est la solution d'accès à distance la plus sûre du marché. Et qu'en pensez-vous : est-il temps pour les fournisseurs de logiciels d'accès à distance d'adopter un code de conduite pour une utilisation responsable de nos produits ?

Bannière d'essai gratuit sur le fond du blog