Quand une startup ferme, ses conversations Slack, ses emails, ses tickets Jira et ses téraoctets de Google Drive ne disparaissent pas. Et maintenant, certaines les revendent.

SimpleClosure, une boîte spécialisée dans la fermeture d'entreprises, propose aux fondateurs de monétiser ce qu'elle appelle l'"exhausteur opérationnel" de leur défunte société en le vendant comme données d'entraînement pour des modèles d'IA.

C'est ce qu'a fait Shanna Johnson, l'ancienne patronne de cielo24, une entreprise de sous-titrage et transcription qui a fermé après 13 ans d'activité. Conversations internes, échanges clients, documentation technique, tout est parti dans le lot.

SimpleClosure supprime les données personnelles identifiables avant la vente, mais le contenu des échanges reste intact. En un an, la boîte a bouclé une centaine de transactions de ce type et récupéré plus d'un million de dollars pour les fondateurs concernés, avec des prix entre 10 000 et 100 000 dollars par entreprise.

SimpleClosure lance d'ailleurs Asset Hub, une plateforme dédiée où les sociétés en fermeture peuvent mettre en vente leurs dépôts de code, leurs archives Slack, leurs emails et leurs documents internes. Le marché se structure.

Le problème évident, c'est que les gens qui ont écrit ces messages ne savaient pas qu'ils finiraient dans un jeu de données d'entraînement. Marc Rotenberg, fondateur du Center for AI and Digital Policy, résume assez bien : "Les problèmes de vie privée ici sont quand même conséquents."

Un employé qui discute de son salaire, de ses problèmes personnels ou d'un conflit avec un collègue sur Slack n'a jamais donné son accord pour que ça serve à calibrer un modèle de langage.

Côté juridique, c'est complètement le flou. Les données appartiennent à l'entreprise, pas aux employés, et quand l'entreprise est en liquidation, le liquidateur ou le fondateur dispose de fait des actifs.

Du coup, dans les faits rien n'interdit aujourd'hui la revente de conversations internes anonymisées aux États-Unis, même si le RGPD en Europe pose des limites que les boîtes américaines n'ont pas.

Bref, si votre ancienne startup a coulé, vos messages Slack sont peut-être déjà dans un dataset quelque part.

Source : TechSpot

Des attaquants se sont fait passer pour un responsable connu de la Linux Foundation sur le Slack du TODO Group, un groupe de travail dédié aux bureaux de programmes open source. L'objectif, piéger les développeurs en les amenant à cliquer sur un lien d'apparence officielle, puis à installer un faux certificat racine sur leur machine.

Le lien était hébergé sur Google Sites, ce qui aide à passer les filtres de sécurité et donne un vernis légitime. Les victimes arrivent sur une fausse page d'authentification Google Workspace, qui récupère leur adresse email et un code de vérification, avant de leur demander d'installer un "certificat Google" pour finaliser la connexion.

C'est là que tout bascule. Installer un certificat racine, c'est donner à l'attaquant la possibilité de signer ou d'intercepter n'importe quel trafic TLS sur la machine.

Sur macOS, le faux certificat télécharge et exécute un binaire nommé gapi depuis une IP externe (2.26.97.61), avec toutes les conséquences qu'on imagine. Sur Windows, c'est une boîte de dialogue de confiance navigateur qui pousse l'installation. Dans les deux cas, la machine est compromise.

OpenSSF, Socket et Help Net Security ont documenté la campagne, qui s'inscrit dans une tendance plus large.

Les attaquants visent de plus en plus les workflows développeurs et les relations de confiance interne plutôt que de chercher une faille zero-day dans le code, parce qu'un ingénieur qui fait confiance à un Slack privé reste une cible bien plus rentable que la lecture de 50 000 lignes de C obscures.

La règle de sécurité à retenir est simple. Aucun service légitime, jamais, ne vous demandera d'installer un certificat racine via un lien reçu en chat ou par email.

Si un message Slack vous y pousse, même depuis un compte interne qui semble légitime, c'est un compromis ou une usurpation. Signalez, ne cliquez pas.

Ce qui est relou, c'est que l'attaque marche précisément parce que les devs open source travaillent beaucoup sur Slack, au milieu de messages techniques qu'ils traitent à la chaîne. C'est donc franchement fourbe.

Bref, vous l'avez compris, un certificat racine demandé par chat, c'est toujours non.

Source : The Register