Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Signalements des failles : à l’ANSSI, pas de raz-de-marée après la loi Lemaire

Hygiène informatique

Signalements des failles : à l’ANSSI, pas de raz-de-marée après la loi Lemaire

Le 26 janvier 2017 à 16h30

Depuis la loi Lemaire, quiconque peut désormais signaler à l’ANSSI l’existence de failles de sécurité en étant assuré qu’il n’y aura pas de transmission automatique au Parquet.

La loi portée par Axelle Lemaire prévoit que l’ANSSI peut officiellement se voir signaler l’existence d’une vulnérabilité dans un système informatique sans craindre la douloureuse mécanique de l’article 40 du Code de procédure pénale. 

Pas d'article 40, mais pas de changement

Avec cette précaution, lorsqu’un piratage informatique ou n’importe quel autre délit tombe dans les oreilles d’un fonctionnaire ou d’une autorité, celui-ci doit aviser « sans délai » le procureur de la République et lui transmettre « tous les renseignements, procès-verbaux et actes qui y sont relatifs ».

Cette disposition ne change juridiquement pas grand-chose. D’une part, avant même la Loi Lemaire, l’ANSSI était déjà informée de failles de sécurité visant des acteurs qui ne sont pas des opérateurs d’importance vitale. Et jamais, elle n’a actionné cet article 40, dont la violation n’est d’ailleurs assortie d’aucune sanction.

D’autre part, rappelons qu’avant ou après la loi Lemaire, la situation juridique des hackers n’est pas profondément modifiée. Et pour cause, le législateur leur a refusé une véritable immunité pénale. Même s’ils passent par l’ANSSI, le responsable du traitement peut toujours attaquer celui qu’elle accuse d’atteinte ou simple pénétration sans droit dans un système informatique.

Une dizaine de cas par semaine

Questionné au FIC sur le retour d’expérience de cette nouvelle plateforme, Guillaume Poupard a en tout cas indiqué à Next INpact qu’il n’y avait pas eu un « raz-de-marée » de signalements. En tout, « une dizaine de cas par semaine nous sont remontés ». À titre d’exemple, il nous cite ce bar breton dont la caisse automatique était « disponible sur Internet ».

Dans le fil de l’échange, le directeur de l’agence a d’ailleurs quelque peu relativisé le nombre d’attaques majeures que connait la France. « Une vingtaine sont traitées chaque année par l’ANSSI. Le ministère de la Défense en dénombre 24 000. Ou bien il est plus attaqué, ou bien on ne compte pas pareil ».

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



À titre d’exemple, il nous cite ce bar breton dont la caisse automatique était « disponible sur Internet »





<img data-src=" />



Et on pouvait la vider à distance ?

votre avatar

boah, j’ai signalé des sites totalement obsolètes avec des trous de sécurité partout, des login en http ils m’ont dit que c’est bien gentil, mais total rien n’a changé…

votre avatar

Sinon, pour signaler en toute sécurité, il y a ZeroDisclo.&nbsp;<img data-src=">



DTC l’article 40.<img data-src=" />

votre avatar







Jarodd a écrit :



<img data-src=" />



Et on pouvait la vider à distance ?





Dommage que c’était pas la pompe à bière.<img data-src=" />


votre avatar

😅😅

votre avatar

La personne qui doit faire le changement, c’est le propriétaire, pas l’ANSSI. Ce dernier averti et ne doit prendre la main que sur les sujets d’importance vitale pour l’État.



Peut-être qu’elle transmet à la CNIL ou au parquet mais je doute que l’ANSSI s’implique dans des sites web lambda mal configuré.

votre avatar

Bonjour,



L’ANSSI vous remercie pour ces informations.



Nous allons procéder à des opérations techniques de vérification mais nous attirons votre attention sur les risques juridiques ou techniques qui peuvent être liés à la recherche de vulnérabilités.



Le fait d’avoir découvert et signalé une vulnérabilité ne vous exonère pas complètement de votre responsabilité pénale. Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données (S.T.A.D.) demeure passible de sanctions pénales prévues aux articles 323-1 et suivants du Code pénal



La recherche de vulnérabilités, même si elle n’est pas techniquement intrusive, peut potentiellement entraîner des effets secondaires et endommager un S.T.A.D.



Cordialement



Bureau réponse aux Incidents

ANSSI/COSSI/CERT-FR

Agence nationale de la sécurité des systèmes d’information

Centre opérationnel de la sécurité des systèmes d’information.



Et la faille est toujours là.

votre avatar







Soriatane a écrit :



La personne qui doit faire le changement, c’est le propriétaire, pas l’ANSSI. Ce dernier averti et ne doit prendre la main que sur les sujets d’importance vitale pour l’État.&nbsp;



&nbsp;

Tout à fait, et c’est très bien qu’ils le fassent



lexflex a écrit :



Et la faille est toujours là.





Pareil pour moi.



Il faudrait plutôt faire un fichier national avec la photo des sysadmins qui mettent pas à jour les machines ou savent pas les mettre en prod.

Et puis on leur mettrait une étoile jaune.

Et puis on est presque vendredi, quoi, à une heure près&nbsp;<img data-src=" />


votre avatar







tpeg5stan a écrit :



&nbsp;

Tout à fait, et c’est très bien qu’ils le fassent

Pareil pour moi.



Il faudrait plutôt faire un fichier national avec la photo des sysadmins qui mettent pas à jour les machines ou savent pas les mettre en prod.

Et puis on leur mettrait une étoile jaune.

Et puis on est presque vendredi, quoi, à une heure près&nbsp;<img data-src=" />







Bah franchement ça serait mérité

Les mauvais cuisto perdent leur clientèle, pourquoi serait-ce different pour les sysadmins?


votre avatar







jackjack2 a écrit :



Bah franchement ça serait mérité 



Les mauvais cuisto perdent leur clientèle, pourquoi serait-ce different pour les sysadmins?






T’as les mauvais sysadmins, et t’as ceux à qui leur hiérarchie interdit de faire les majs parce que le temps que les devs vont prendre pour, par exemple, passer de Java 6 à 7 ou de Oracle 10 à 11 n’est pas facturable au client et que donc on s’en fout. Ou : “Ca fonctionne comme ça, pas touche”.



Depuis 15 ans que je fais ce boulot la plupart du temps on est dans le 2eme cas, et tout le monde s’en fout tant que le client n’est pas impacté, c’est à dire tant que ça n’atteint pas son image (on peut perdre les données, elle peuvent fuiter, tant que ça n’est pas public on s’en b…)


votre avatar

En général, la plupart des sociétés qui déploient les MAJs de façon centralisée le font uniquement sur les MAJs sytème, c’est surtout ça qui est critique, et en fin de compte c’est très peu invasif sur la stabilité des applis. D’ailleurs le plus souvent ce qui gêne c’est que les serveurs sont maltraités et ont une appli codée en agitant les parties génitales sur le clavier du coup éteindre et allumer la machine implique de brûler un cierge et de prendre deux dolipranes.



Fun fact (ou pas) sur l’un des serveurs Windows que je gérais pour un gros compte, ils avaient mis un script en tache planifiée qui checkait le service le service du client SCCM et Windows Update et qui les éteignait si jamais on essayait de les rallumer. <img data-src=" />



Vous n’imaginez pas les colères qu’on avait déclenché à l’époque et toutes les insultes qu’on s’est pris en mettant à jour et je n’ai jamais passé autant de temps dans l’observateur d’évènements pour expliquer que “non, ce n’est pas la correction d’une faille critique dans le lecteur notepad qui a cassé le serveur IIS et qui l’empêche d’afficher votre fonction en javascript”.

votre avatar



À titre d’exemple, il nous cite ce bar breton dont la caisse automatique était « disponible sur Internet »



moi j’appelle ça une faille majeure sur un OIV, désolé. <img data-src=" />

votre avatar







Crillus a écrit :



&nbsp;ont une appli codée en agitant les parties génitales sur le clavier





Je comprends maintenant&nbsp; pourquoi il y a peu de femmes chez les informaticiens: faire ce genre d’opérations est difficile pour elles et demande une grande souplesse.


votre avatar

Moi ce qui me fais bien rigoler c’est de trouver des sites qui recensent des failles sur des site top 10.000 alexa avec une simple recherche sur google et de voir que 99% des failles sont toujours active en les testant alors qu’elle ont parfois plusieurs années.



En partant de ce principe la, la sécurité me fera toujours bien rigoler <img data-src=" />

votre avatar

Avec une protection aussi faible, c’est sûr qu’il vaut mieux vendre ou faire mumuse que d’aider son prochain

Surtout que si la victime veut attaquer quelqu’un, l’ANSSI a un client sous la main…





«&nbsp;Une vingtaine sont traitées chaque année par l’ANSSI. Le ministère de la Défense en dénombre 24&nbsp;000. Ou bien il est plus attaqué, ou bien on ne compte pas pareil&nbsp;»



Ouch&nbsp;<img data-src=" />

Guillaume&nbsp;Poupard a la gâchette facile non?

Signalements des failles : à l’ANSSI, pas de raz-de-marée après la loi Lemaire

  • Pas d'article 40, mais pas de changement

  • Une dizaine de cas par semaine

Fermer