En application de la récente loi Numérique, l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) permet dorénavant aux internautes de lui signaler des vulnérabilités. Le tout sous couvert d’anonymat. Mais attention, ce nouveau dispositif n'est pas forcément synonyme d'immunité.
La faille décelée peut concerner aussi bien un site public (celui des impôts, de la CAF, du ministère de la Défense...) que privé, le texte porté par Axelle Lemaire visant toute « vulnérabilité concernant la sécurité d'un système de traitement automatisé de données ». Pour avertir l’ANSSI, deux canaux sont proposés :
- Par mail (cert-fr.cossi[at]ssi.gouv.fr)
- Par voie postale (ANSSI - SGDSN - 51, boulevard de La Tour-Maubourg - 75700 Paris 07 SP)
L’institution demande ainsi aux internautes de lui envoyer un message accompagné de « tous les éléments techniques permettant de procéder aux opérations nécessaires ». Depuis l’entrée en vigueur de la loi Lemaire, le 9 octobre dernier, l’ANSSI est en effet priée d’effectuer des vérifications, afin d’avertir en cas de besoin « l’hébergeur, l’opérateur ou le responsable du système d’information ».
L'ANSSI pourra être amenée à avertir les sites mal sécurisés
L’agence est également tenue de « préserve[r] la confidentialité de l'identité de la personne à l'origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée ». Auparavant, l’article 40 du Code de procédure pénale obligeait cette administration à dénoncer automatiquement cet « indic » à la justice, quelles que soient ses motivations. Avec la loi Lemaire, l’individu « de bonne foi » ne rendant pas publiques ses informations n’a plus à avoir de telle crainte procédurale.
Attention cependant : le responsable du traitement pourra toujours attaquer le dénonciateur s'étant rendu coupable d'une intrusion informatique. Le dispositif envisagé par la loi Lemaire n'orchestre en ce sens aucune immunité, il confie simplement à l'ANSSI un rôle tampon.
Vous avez découvert une vulnérabilité sans l’avoir exploitée ? Vous pouvez désormais nous la signaler #loiNumeriquehttps://t.co/hNwgNWzdtR
— ANSSI (@ANSSI_FR) 10 octobre 2016
« Nous nous contenterons de vérifier que la porte béante est vraiment béante, par exemple un FTP sans mot de passe » a expliqué la semaine dernière Guillaume Poupard, le numéro un de l’ANSSI (voir notre article). « Un FTP dont le mot de passe sera « toto » ne rentra pas dans le dispositif » a-t-il précisé. Un guide devrait voir le jour afin d’accompagner ces « citoyens outrés par ce qu’ils voient » et « un peu fatigués d’aller voir directement les acteurs concernés », dixit Guillaume Poupard.
Commentaires (42)
C’est plutôt une faille, des fayots.
" />
" />
Sinon bonne initiative. Pour une fois…
Ah, ca tombe bien j’en ai une dans les carton depuis quelques temps…
«sans l’avoir exploitée»
Pas très précis … exploiter la faille dans le sens l’avoir tester dans tous les sens où en avoir profiter a des fin malhonnête ? Trouver un premier trou qui mène a tout un ensemble de manque de sécurité est vite fait …
Bon on va dire que c’est un premier pas pour éviter des future Serge Humpich ou le cas plus récent Bluetoff.
Je vais aller dénoncer mes backdoors
" />
Tu peux peut-être essayer de dénoncer les backdoors qu’ils ont instaurés dans les DSLAM. Qui sait ça pourrait passer.
" />
Certes sur papier c’est bien.
Mais en pratique bonjour la charge de boulot, le goulot d’étranglement…
Sans compter que cela n’incitera pas les “contrevenants” à corriger leurs failles puisqu’ils sauront que le secret est assuré.
Et puis cela constituera une base pour continuer à attaquer en justice les lanceurs d’alerte (ben oui, selon la loi vous devez passer par l’ANSSI, nianiania…).
Les “défauts de sécurisation” suggérés par la HADOPI passeront aussi par l’ANSSI.
" />
Ça se complexifie
“Dans le cadre de l’amélioration de notre service nous vous informons que cette conversation peut-être enregistrée.”
" />
Non c’est pas vraiment marqué ça.
le truc débile, relevé par Bluetouff, c’est que si vous signalez une faille “en toute bonne foi” et que quelqu’un “en toute mauvaise foi” l’exploite, vous pouvez être certain que c’est sur vous qu’on va taper (easy, on a le nom d’un mec au courant de la faille).
donc bien qu’étant de toute bonne foi, il vaut alors mieux signaler tout ça de façon anonyme… ^^
tout dépend.
si la cible est un OIV, je peux te dire qu’ils vont vite la corriger.
Et si la faille n’est pas bouchée…car rien n’oblige le SI à réparer la bourde, l’ANSSI a-t-elle un pouvoir coercitif pour forcer l’entreprise à combler les faille? Car je les vois mal balancer au grand public, ça fait 3 fois qu’on prévient l’entreprise X que son système est bancale et au bout de 6 mois rien n’a encore été fait.
C’est sur que celui qui a un défaut de sécurisation n’aura aucune obligation de correction, mais il prêtera surement plus attention si c’est l’ANSSI qui l’appel que une personne quelconque.
Pour l’attaque en justice rien ne t’oblige a passer par l’ANSSI, c’est juste une facilité qu’il offre. Et si tu avais lue l’article tu aurais vu que même si tu passe par cet organisme ça ne te protège pas de poursuite.
Ils payent combien pour une faille ?
je pensais plutôt à tor + mail jetable mais bon. ^^
Donc, en gros, pour l’instant la réaction la plus raisonnable face à une faille de sécurité, c’est de fermer sa gueule.
Est-ce que la faille qui permet la fuite des chiffres d’affaire vers l’Irlande et le Luxembourg peut être signalée ?
Promis, je n’en ai pas profité, mon taux d’imposition est même supérieur à celui d’Amazon, Apple, Starbucks…
a mon avis le mieux si t’en as rien à foutre c’est de la vendre (si ça touche un OIV):
maintenant si ça te dérange de vendre une faille SCADA aux russes, ben t’envois un mail anonyme. ^^
Mieux vaut passer par un avocat …
Bonjour,
Un peu léger cet article. Reflets.info a fait une analyse toute différente, et le délateur ne sera nullement protégé si la faille est exploitée par ailleurs.
https://reflets.info/remonter-des-failles-a-lanssi-une-bien-belle-idee-sur-le-pa…
l’auteur s’y connait en la matière. ^^
exactement !
et penser : un AUTRE l’fera à ma place” !
(“anonyme”…et, si on parlait d”IP) ?
Non, l’article a un ton très léger, il n’y a pas d’anonymat et de protection de la source.
Le paragraphe expédie en 3 lignes une faille béante qui n’apporte aucune protection au bon Samaritain. Du coup, si tu le fais en laissant ton identité, tu pourras être poursuivi. Si tu caches ton identité lors du signalement, cela sera assimilé à une présomption de culpabilité si tu es découvert par la suite.
NXI aurait du être beaucoup plus incisif et inciter à passer par un avocat ou à se masquer lors du signalement.
Le bon samaritain qui exploite donc une faille ?
Encore heureux que le texte ne protège pas. Sinon j’imagine bien le délire : “oh une faille dans la banque X” - un virement de 12Millions d’euro plus tard - “Bonjour, j’ai trouvé une faille !”
Tout papier + enveloppe, vous signez du nom d’un employé de PCinpact (ou d’un voisin, ou d’un journaliste), et ça roule.
Je ne vois pas de problème.
C’est surtout que Blutouff a essuyé les plâtres de ce genre de situation assez nouvelle, on va dire. Des techniciens capables de détecter des failles comme celles qu’attend l’ANSSI sont désormais au jus des risques et de la bonne manière de procéder. Sinon, ils sont teubés.
C’est pas pour rien que l’ANSSI a proposé le mode papier, j’imagine…
ce que dit avec justesse Bluetouff c’est que le bon samaritain en question (qui est donc de bonne foi et n’a pas exploité la faille) sera le premier sur la liste en cas d’exploitation par un tiers.
il est donc évident que personne de censé (ou d’averti) ne signalera de faille à l’ANSSI, tout du moins de façon non anonyme, à moins d’aimer les amis du petit déjeuner.
Oui c’est sur. Mais il faut tout de même des preuves pour condamner quelqu’un.
Donc soit le hacker laisse des traces (son ip par exemple) -> découvreur innocent.
Soit le hacker a effacé ses traces -> pas de preuve pour incriminer qui que ce soit.
Comme s’il fallait des preuves pour condamner quelqu’un…
Apparemment le Gouvernement actuel est une faille de sécurité majeure et critique. Peut-on le signaler ?
" />
” « Nous nous contenterons de vérifier que la porte béante est vraiment béante, par exemple un FTP sans mot de passe » a expliqué la semaine dernière Guillaume Poupard, le numéro un de l’ANSSI (voir notre article). « Un FTP dont le mot de passe sera « toto » ne rentra pas dans le dispositif » ”
Un FTP avec mdp “toto” n’est pas une porte béante?
Yahoo peut venir en France alors : “On avait tout fait niveau sécurité, on ne comprend pas comment un demi-milliard de comptes ont pu être piratés, on avait mis toto en mot de passe root!!”
On s’est mal compris : le bon samaritain qui dénonce une faille, et un autre hacker tierce qui la découvre aussi et l’exploite. Bilan, l’Etat va axer son effort en premier sur l’internaute qu’il connait.
+1