Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Vous pouvez signaler des failles de sécurité à l’ANSSI, sous anonymat

Un fayot, des failles

Vous pouvez signaler des failles de sécurité à l’ANSSI, sous anonymat

Le 13 octobre 2016 à 13h00

En application de la récente loi Numérique, l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) permet dorénavant aux internautes de lui signaler des vulnérabilités. Le tout sous couvert d’anonymat. Mais attention, ce nouveau dispositif n'est pas forcément synonyme d'immunité.

La faille décelée peut concerner aussi bien un site public (celui des impôts, de la CAF, du ministère de la Défense...) que privé, le texte porté par Axelle Lemaire visant toute « vulnérabilité concernant la sécurité d'un système de traitement automatisé de données ». Pour avertir l’ANSSI, deux canaux sont proposés :

  • Par mail (cert-fr.cossi[at]ssi.gouv.fr)
  • Par voie postale (ANSSI - SGDSN - 51, boulevard de La Tour-Maubourg - 75700 Paris 07 SP)

L’institution demande ainsi aux internautes de lui envoyer un message accompagné de « tous les éléments techniques permettant de procéder aux opérations nécessaires ». Depuis l’entrée en vigueur de la loi Lemaire, le 9 octobre dernier, l’ANSSI est en effet priée d’effectuer des vérifications, afin d’avertir en cas de besoin « l’hébergeur, l’opérateur ou le responsable du système d’information ».

L'ANSSI pourra être amenée à avertir les sites mal sécurisés

L’agence est également tenue de « préserve[r] la confidentialité de l'identité de la personne à l'origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée ». Auparavant, l’article 40 du Code de procédure pénale obligeait cette administration à dénoncer automatiquement cet « indic » à la justice, quelles que soient ses motivations. Avec la loi Lemaire, l’individu « de bonne foi » ne rendant pas publiques ses informations n’a plus à avoir de telle crainte procédurale.

Attention cependant : le responsable du traitement pourra toujours attaquer le dénonciateur s'étant rendu coupable d'une intrusion informatique. Le dispositif envisagé par la loi Lemaire n'orchestre en ce sens aucune immunité, il confie simplement à l'ANSSI un rôle tampon.

« Nous nous contenterons de vérifier que la porte béante est vraiment béante, par exemple un FTP sans mot de passe » a expliqué la semaine dernière Guillaume Poupard, le numéro un de l’ANSSI (voir notre article). « Un FTP dont le mot de passe sera « toto » ne rentra pas dans le dispositif » a-t-il précisé. Un guide devrait voir le jour afin d’accompagner ces « citoyens outrés par ce qu’ils voient » et « un peu fatigués d’aller voir directement les acteurs concernés », dixit Guillaume Poupard.

 

Commentaires (42)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est surtout que Blutouff a essuyé les plâtres de ce genre de situation assez nouvelle, on va dire. Des techniciens capables de détecter des failles comme celles qu’attend l’ANSSI sont désormais au jus des risques et de la bonne manière de procéder. Sinon, ils sont teubés.

C’est pas pour rien que l’ANSSI a proposé le mode papier, j’imagine…

votre avatar

ce que dit avec justesse Bluetouff c’est que le bon samaritain en question (qui est donc de bonne foi et n’a pas exploité la faille) sera le premier sur la liste en cas d’exploitation par un tiers.

il est donc évident que personne de censé (ou d’averti) ne signalera de faille à l’ANSSI, tout du moins de façon non anonyme, à moins d’aimer les amis du petit déjeuner.

votre avatar

Oui c’est sur. Mais il faut tout de même des preuves pour condamner quelqu’un.



Donc soit le hacker laisse des traces (son ip par exemple) -> découvreur innocent.

Soit le hacker a effacé ses traces -> pas de preuve pour incriminer qui que ce soit.









fwak a écrit :



C’est surtout que Blutouff a essuyé les plâtres de ce genre de situation assez nouvelle,







Mouais, il est allé trop loin en toutes connaissances de causes, même si je reconnais que vu le peu de tort, la justice aurait pu être plus clémente.


votre avatar

Comme s’il fallait des preuves pour condamner quelqu’un…

votre avatar

Apparemment le Gouvernement actuel est une faille de sécurité majeure et critique. Peut-on le signaler ?



<img data-src=" />

votre avatar

<img data-src=" />

votre avatar

” &nbsp;«&nbsp;Nous nous contenterons de vérifier que la porte béante est vraiment béante, par exemple un FTP sans mot de passe&nbsp;» a expliqué la semaine dernière Guillaume Poupard, le numéro un de l’ANSSI (voir notre article). «&nbsp;Un FTP dont le mot de passe sera « toto » ne rentra pas dans le dispositif&nbsp;» &nbsp;”



&nbsp;Un FTP avec mdp “toto” n’est pas une porte béante?

&nbsp;Yahoo peut venir en France alors : “On avait tout fait niveau sécurité, on ne comprend pas comment un demi-milliard de comptes ont pu être piratés, on avait mis toto en mot de passe root!!”

votre avatar

On s’est mal compris : le bon samaritain qui dénonce une faille, et un autre hacker tierce qui la découvre aussi et l’exploite. Bilan, l’Etat va axer son effort en premier sur l’internaute qu’il connait.

votre avatar

+1

votre avatar

<img data-src=" />

votre avatar







fwak a écrit :



C’est surtout que Blutouff a essuyé les plâtres de ce genre de situation assez nouvelle, on va dire. Des techniciens capables de détecter des failles comme celles qu’attend l’ANSSI sont désormais au jus des risques et de la bonne manière de procéder. Sinon, ils sont teubés.





Si je ne m’abuse, Bluetouff affirmait avoir téléchargé des documents en accès libre, à disposition du public, sur le site d’une agence publique, oeuvrant pour la sécurité publique, et publiant des documents d’intérêt public. Si ma mémoire est bonne, Bluetouff affirme ne pas avoir découvert ou exploité de faille. En conséquence, le signalement à l’ANSSI, ou à qui que ce soit, n’avait pas lieu d’être.



D’ailleurs, on peut bien se demander quelle sera l’application de cette nouvelle disposition. Dans tous les cas, un signalement anonyme, si signalement devait y avoir, serait une précaution utile.


votre avatar

je pensais plutôt à tor + mail jetable mais bon. ^^

votre avatar







Mimoza a écrit :



Tu as encore des téléphone/carte pré-payé. C’est pas aussi efficace mais mieux que rien





Je rajouterais : mettre son téléphone habituel dans un drone, histoire qu’il aille borner à 1KM en mode consultation n’un message répondeur super long au préalable enregistré.

Ça te fait un alibi géographique en plus : dire que t’étais en ligne à l’endroit où t’as mis le drone en géostationnaire. Et pendant ce temps, tu dénonce sur le pré-payé <img data-src=" />


votre avatar

Donc, en gros, pour l’instant la réaction la plus raisonnable face à une faille de sécurité, c’est de fermer sa gueule.

votre avatar

Est-ce que la faille qui permet la fuite des chiffres d’affaire vers l’Irlande et le Luxembourg peut être signalée ?

Promis, je n’en ai pas profité, mon taux d’imposition est même supérieur à celui d’Amazon, Apple, Starbucks…

votre avatar







Quiproquo a écrit :



Donc, en gros, pour l’instant la réaction la plus raisonnable face à une faille de sécurité, c’est de fermer sa gueule.





D’où le sens fondé de l’expression “occupe toi de tes affaires”.


votre avatar







vampire7 a écrit :



Ils payent combien pour une faille ?





C’est pas comme ça que ça marche, c’est toi qui dois verser des dommages et intérêts pour les avoir forcés à faire un boulot qu’ils n’avaient pas envie de faire <img data-src=" /> Toi t’as la satisfaction d’avoir été un bon citoyen et ça, ça n’a pas de prix ^^


votre avatar

a mon avis le mieux si t’en as rien à foutre c’est de la vendre (si ça touche un OIV):




  • tu l’exploites pas

  • t’es payé



    maintenant si ça te dérange de vendre une faille SCADA aux russes, ben t’envois un mail anonyme. ^^

votre avatar

Mieux vaut passer par un avocat …

votre avatar

Bonjour,

Un peu léger cet article. Reflets.info a fait une analyse toute différente, et le délateur ne sera nullement protégé si la faille est exploitée par ailleurs.

https://reflets.info/remonter-des-failles-a-lanssi-une-bien-belle-idee-sur-le-pa…

votre avatar







digital-jedi a écrit :



Bonjour,

Un peu léger cet article. Reflets.info a fait une analyse toute différente, et le délateur ne sera nullement protégé si la faille est exploitée par ailleurs.

https://reflets.info/remonter-des-failles-a-lanssi-une-bien-belle-idee-sur-le-pa…











nxi a écrit :



Attention cependant : le responsable du traitement pourra toujours attaquer le dénonciateur s’étant rendu coupable d’une intrusion informatique. Le dispositif envisagé par la loi Lemaire n’orchestre en ce sens aucune immunité, il confie simplement à l’ANSSI un rôle tampon.







Oui c’est dans l’article de NXi… et il n’y a pas beaucoup de différence avec l’article de Reflets du coup.


votre avatar

l’auteur s’y connait en la matière. ^^

votre avatar







gogo77 a écrit :



C’est pas comme ça que ça marche, c’est toi qui dois verser des dommages et intérêts pour les avoir forcés à faire un boulot qu’ils n’avaient pas envie de faire <img data-src=" /> Toi t’as la satisfaction d’avoir été un bon citoyen et ça, ça n’a pas de prix ^^







De toutes façon personne ne paiera 1.5 millions d’€ pour une faille sur le site des impôts, c’est pas iOS.







Ou alors faut traiter avec certains artistes français. <img data-src=" /><img data-src=" /><img data-src=" />


votre avatar

exactement !

et penser : un AUTRE l’fera à ma place” !

(“anonyme”…et, si on parlait d”IP) ?

votre avatar

Non, l’article a un ton très léger, il n’y a pas d’anonymat et de protection de la source.

Le paragraphe expédie en 3 lignes une faille béante qui n’apporte aucune protection au bon Samaritain. Du coup, si tu le fais en laissant ton identité, tu pourras être poursuivi. Si tu caches ton identité lors du signalement, cela sera assimilé à une présomption de culpabilité si tu es découvert par la suite.

NXI aurait du être beaucoup plus incisif et inciter à passer par un avocat ou à se masquer lors du signalement.

votre avatar

Le bon samaritain qui exploite donc une faille ?

Encore heureux que le texte ne protège pas. Sinon j’imagine bien le délire : “oh une faille dans la banque X” - un virement de 12Millions d’euro plus tard - “Bonjour, j’ai trouvé une faille !”


votre avatar

Tout papier + enveloppe, vous signez du nom d’un employé de PCinpact (ou d’un voisin, ou d’un journaliste), et ça roule.

Je ne vois pas de problème.


votre avatar

C’est plutôt une faille, des fayots.



<img data-src=" />

&nbsp;

Sinon bonne initiative. Pour une fois…



<img data-src=" />

votre avatar

Ah, ca tombe bien j’en ai une dans les carton depuis quelques temps…

votre avatar

«sans l’avoir exploitée»

Pas très précis … exploiter la faille dans le sens l’avoir tester dans tous les sens où en avoir profiter a des fin malhonnête ? Trouver un premier trou qui mène a tout un ensemble de manque de sécurité est vite fait …



Bon on va dire que c’est un premier pas pour éviter des future Serge Humpich ou le cas plus récent Bluetoff.

votre avatar

Je vais aller dénoncer mes backdoors <img data-src=" />

votre avatar

Tu peux peut-être essayer de dénoncer les backdoors qu’ils ont instaurés dans les DSLAM. Qui sait ça pourrait passer.



<img data-src=" />

votre avatar

Certes sur papier c’est bien.

Mais en pratique bonjour la charge de boulot, le goulot d’étranglement…

Sans compter que cela n’incitera pas les “contrevenants” à corriger leurs failles puisqu’ils sauront que le secret est assuré.

Et puis cela constituera une base pour continuer à attaquer en justice les lanceurs d’alerte (ben oui, selon la loi vous devez passer par l’ANSSI, nianiania…).

votre avatar

Les “défauts de sécurisation” suggérés par la HADOPI passeront aussi par l’ANSSI.

Ça se complexifie <img data-src=" />

votre avatar

“Dans le cadre de l’amélioration de notre service nous vous informons que cette conversation peut-être enregistrée.”



Non c’est pas vraiment marqué ça.



<img data-src=" />

votre avatar

le truc débile, relevé par Bluetouff, c’est que si vous signalez une faille “en toute bonne foi” et que quelqu’un “en toute mauvaise foi” l’exploite, vous pouvez être certain que c’est sur vous qu’on va taper (easy, on a le nom d’un mec au courant de la faille).

donc bien qu’étant de toute bonne foi, il vaut alors mieux signaler tout ça de façon anonyme… ^^

votre avatar

tout dépend.

si la cible est un OIV, je peux te dire qu’ils vont vite la corriger.

votre avatar







hellmut a écrit :



donc bien qu’étant de toute bonne foi, il vaut alors mieux signaler tout ça de façon anonyme… ^^





La bonne vieille enveloppe avec un texte composés de lettres découpées dans de vieux journaux, en ayant pris soin d’utiliser une colle classique, des gants et une protection pour les cheveux.

C’est dommage que les cabines téléphoniques disparaissent…


votre avatar

Et si la faille n’est pas bouchée…car rien n’oblige le SI à réparer la bourde, l’ANSSI a-t-elle un pouvoir coercitif pour forcer l’entreprise à combler les faille? Car je les vois mal balancer au grand public, ça fait 3 fois qu’on prévient l’entreprise X que son système est bancale et au bout de 6 mois rien n’a encore été fait.

votre avatar

C’est sur que celui qui a un défaut de sécurisation n’aura aucune obligation de correction, mais il prêtera surement plus attention si c’est l’ANSSI qui l’appel que une personne quelconque.

Pour l’attaque en justice rien ne t’oblige a passer par l’ANSSI, c’est juste une facilité qu’il offre. Et si tu avais lue l’article tu aurais vu que même si tu passe par cet organisme ça ne te protège pas de poursuite.

votre avatar

Ils payent combien pour une faille ?

votre avatar







kade a écrit :



C’est dommage que les cabines téléphoniques disparaissent…





Tu as encore des téléphone/carte pré-payé. C’est pas aussi efficace mais mieux que rien


Vous pouvez signaler des failles de sécurité à l’ANSSI, sous anonymat

  • L'ANSSI pourra être amenée à avertir les sites mal sécurisés

Fermer