Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Protection des données : de graves lacunes, un best of de ce qu’il ne faut pas faire

Résumé (pas) foireux : facepalm

Protection des données : de graves lacunes, un best of de ce qu’il ne faut pas faire

Par le prisme des incidents ciblant des entités du secteur social, l’ANSSI dresse un bien triste et inquiétant état des lieux de la sécurité informatique. Si le rapport cible la profession, bien d’autres entités et sociétés devraient s’en inspirer pour vérifier si elles appliquent les bonnes règles.

Le 27 septembre à 09h38

Dans l’introduction de son rapport, l’Agence nationale de la sécurité des systèmes d'information rappelle à juste titre que « l’année 2023 et le début de l’année 2024 ont été marqués par de nombreux incidents ciblant des entités du secteur social gérant des données à caractère personnel ».

Des fuites massives sur des dizaines de millions de personnes

Nous en parlions d’ailleurs dans un édito au début de l’année. Les fuites ont même commencé en 2022 avec un demi-million de personnes à l’Assurance Maladie. C’est très peu comparé à la suite. En effet, ce sont 10 millions de personnes dont les données ont fuité chez Pôle emploi, 33 millions chez deux prestataires du tiers payant (Viamedis et Almerys) et enfin un « all-in » de France Travail avec 43 millions de personnes concernées.

On y retrouve des données personnelles comme les nom, prénom, numéro de Sécurité sociale, date de naissance ainsi que les adresses email et physique. Avec la taille gigantesque des bases de données, il faudrait avoir de la chance pour passer entre les gouttes. Une fois ces données dans la nature, il n’est plus possible de les changer pour une bonne partie d’entre elles.

L’ANSSI relève « des insuffisances de protection »

Dans son rapport, l’ANSSI rassemble les enseignements et constats de ses équipes lors de la gestion des incidents. Tous secteurs confondus, ils sont au nombre de 183 incidents pour 2023 et début 2024. Dans le lot, « 60 sont la conséquence d’une compromission et d’un chiffrement par rançongiciel ».

L’état des lieux n’est pas tendre : « Leur analyse met en évidence des insuffisances de protection dans la façon dont ces données sont traitées et les moyens par lesquels on y accède, et ce, dès la conception des projets qui en traitent ».

L’ANSSI y voit déjà une première raison : « Dans la logique métier, la donnée personnelle n’est souvent pas perçue comme intrinsèquement plus sensible que les données techniques. De ce fait, peu de mesures de sécurité sont appliquées lors de sa manipulation ou dans le contrôle des accès effectués ». Or, les responsables sont censés prendre « toutes les mesures nécessaires pour assurer la sécurité et la confidentialité des données personnelles ».

Un florilège de ce qu’il ne faut pas faire

Premier problème, les usagers peuvent parfois manipuler les données avec des privilèges élevés, sans raison particulière (du moins autre qu’aller au plus simple en donnant accès à tout ou presque, ce qui n’est PAS une bonne pratique). L’ANSSI a ainsi « constaté que des comptes de prestataires externes – sans authentification forte – ont été compromis et utilisés pour exfiltrer l’intégralité d’une base de données ».

Il est aussi question d’une gestion des authentifications « souvent peu moderne », laissant ainsi une marge de manœuvre importante pour les attaquants. Un exemple : des identifiants et mots de passe partagés et réutilisés. Les attaquants n’ont alors pas besoin de déployer l’artillerie lourde. Ils utilisent simplement des accès légitimes, récupérés via des campagnes de phishing ou en rachetant des bases de données avec des identifiants dérobés. Faute d’avoir mis à jour ou bloqué les mots de passe compromis, les pirates peuvent rapidement et facilement accéder aux systèmes.

L’absence de règles ou de limites sur les consultations, de supervision et le manque de journalisation sont également pointés du doigt. Les équipes ne peuvent alors pas détecter les comportements suspects, et donc agir en conséquence avant que ce ne soit trop tard ou grave. Autre exemple inquiétant donné par l’ANSSI : « l’attaquant s’est connecté à la plateforme de consultation des données, et en simulant des millions de recherches, il a pu, par simple navigation, extraire le contenu ».

L’Agence affirme qu’il est « nécessaire d’implémenter un mécanisme d’authentification forte ou a minima multifacteur, a fortiori si l’application est exposée à des réseaux non maitrisés (ex : Internet) ». Il faut interdire l’usage de comptes génériques par défaut, segmenter les environnements serveurs, journaliser les actions… Des règles élémentaires de bon sens.

Surveiller les réseaux et les actions

Autre point soulevé : les accès techniques aux plateformes qui peuvent « être détournés de manière consciente – exploitation d’un compte VPN compromis – mais également de manière involontaire ». L’ANSSI évoque un prestataire qui a utilisé ses accès administrateurs pour exfiltrer, à plusieurs reprises, une base de données. Ces « actions n’ont été que tardivement détectées par les équipes de l’entité en question malgré plusieurs facteurs aggravants qui auraient dû lever une alerte : flux d’exfiltrations massifs, horaires d’activité non conformes… ».

Plusieurs recommandations sont formulées. Les mesures de sécurité doivent ainsi « nécessairement être déployées partout où la donnée est manipulée ». En outre, les prestataires ou sous-traitants ne devraient intervenir que dans un environnement dédié avec des accès réduits et une supervision renforcée. Une politique de gestion des comptes et des droits doit aussi être mise en place, surveillée ET mise à jour aussi souvent que nécessaire. Par exemple, couper les accès un peu avant le départ d’un collaborateur pour éviter une exfiltration, supprimer les comptes inactifs, etc.

Notifier la CNIL « au moindre doute »

L’ANSSI rappelle enfin que, « au moindre doute quant à une potentielle exfiltration de données personnelles, il est recommandé de faire une notification initiale à la CNIL ». Et si la fuite n’est finalement pas une réalité, il sera toujours possible de la clore avec un constat d’incident non avéré.

L’ANSSI explique aussi que « la communication de l’organisation victime doit être particulièrement soignée car de nombreux experts (souvent auto-proclamés) ou personnalités sont susceptibles de se saisir de l’incident et de contester les propos officiels si ceux-ci s’avèrent imprécis ou erronés ».

Comm de crise : ne pas mentir, ne pas surjouer…

L’ANSSI recommande de ne pas adopter « un ton anxiogène et d’aggraver volontairement la sophistication de la cyberattaque » pour une raison toute simple : « la communauté cyber s’en rendra vite compte ». À contrario, on évite aussi de tout mettre sur le dos du stagiaire (ceci est une recommandation de Next, pas de l’ANSSI).

On peut citer l’exemple de la SCAM qui affirmait dans sa communication, suite à une fuite de données, avoir mis en place des « efforts soutenus en matière de prévention et de protection »… tout en envoyant depuis des mois (au moins) des mots de passe en clair par email.

La communication de crise est un exercice périlleux, surtout si les équipes ne sont pas préparées. Nous l’avons vu avec la série de fuites récentes : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite et RED by SFR.

Par exemple, Truffaut refuse de donner le nombre de clients concernés et renvoie vers la CNIL, qui n’a pas vocation à assurer la communication des entreprises. RED by SFR se féliciterait presque que la fuite se « limite » aux nom, prénom, coordonnées, données contractuelles (type de forfait, contenu de la commande), IBAN, numéro d’identification du smartphone et de la carte SIM.

Le rapport de l’ANSSI se termine par une annexe sur les conseils de communication.

Commentaires (14)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
La SCAM ? En même temps, ils ont un nom prédestiné à avoir des problèmes ! :D
votre avatar
Un florilège de ce qu’il ne faut pas faire
Pas cool de lister mes combats quotidiens. :craint:
votre avatar
J'ai cru qu'ils parlaient de ma boite, mais finalement ouf, ils n'ont pas parlé du md5...
votre avatar
Le problème avec recommendations c'est que la plupart des boites n'ont tout simplement pas les compétences pour les mettres en place correctement.

Ce se transforme souvent en verrouillage intégrale rendant la vie impossible au équipe de développement .
votre avatar
Je fais du dév, du build, de la prod et de l'exploit. Il n'y a pas un domaine qui ne soit pas impacté de manière absolument débile par les experts sécurité autoproclamés. Il est très rare de voir de la sécurité faite intelligemment et dans l'intérêt de la boîte elle même.

Le principal souci est souvent la direction, qui a été parachutée et qui ne connaît pas le métier de la boîte et encore moins à la sécurité. Elle fait confiance au premier exploitant qui a postulé en tant que RSSI ou en tant que DSI (les postes se confondent encore souvent), quand ce n'est pas le neveu ou le cousin a qui on a proposé le poste.

Ça m'arrive souvent que du jour au lendemain j'aie un "resposable cybersecurité", qui pourrait être mon fils, qui débarque avec la casquette RSSI et qui m'explique que mon travail n'est pas conforme à sa politique d'entreprise. Quand j'analyse ses règles et procédures, le plus souvent je découvre que le gars n'a rien fait de plus que de bêtement lister l'ensemble des règles reprises des conseils de l'ANSSI, sans discernement et surtout sans prendre en compte le métier de la boîte.

Au lieu d'avoir de vrais experts en place, nous assistons malheureusement à la naissance d'une nouvelle espèce de politiciens. Les refus de comm ou les tentatives d'étouffement des incidents en sont un belle illustration.

Je compatis, je confirme et je te comprends.
votre avatar
"À contrario, on évite aussi de tout mettre sur le dos du stagiaire (ceci est une recommandation de Next, pas de l’ANSSI)."


:D
votre avatar
Dans ma boite on remplit tous les 6 mois le même formulaire statique, avec des questions du genre :
- Un inconnu m'aborde dans la rue et me demande mon mot de passe de session : [ ] je le donne [ ] je le donne pas
Ensuite on envoie le screenshot du 20/20 à la DSI, et on se retrouve dans 6 mois pour le même formulaire.
Mais avec tous le personnel qui a 20/20, on peut dire que tout est sécurisé, non ? :8
votre avatar
Le plus drôle c'est que l'attaquant n'a pas besoin de demander un mot de passe à quelqu'un dans la rue. J'ai arrêté de compter la construction Entreprise!2024.
votre avatar
Tu exagère..
Comme les passwords ne sont pas renouvelés car hardcodé au fin fond d'un programme non supporté mais critique, tu as le numéro de l'année qui peut changer...
2000, 1975,..
C'est une vraie mitigation du risque :francais:
votre avatar

@SebGF : oh, le nombre de "changeme" ou "changeoninstall" que je vois sur les prod.... même pas besoin de chercher de la complexité :mdr:
votre avatar
Avec "changeit" t'as accès à, je dirais, les 3/4 des JKS du monde.
votre avatar
@Jarodd : Le DSI, ne serait-il pas cousin du Président, à tout hasard ?
votre avatar
Un inconnu m'aborde dans la rue et me demande mon mot de passe de session : [ ] je le donne [ ] je le donne pas
il manque l'option " [ ] ça dépend "
votre avatar
ça dépend, ça dépasse :francais:

Protection des données : de graves lacunes, un best of de ce qu’il ne faut pas faire

  • Des fuites massives sur des dizaines de millions de personnes

  • L’ANSSI relève « des insuffisances de protection »

  • Un florilège de ce qu’il ne faut pas faire

  • Surveiller les réseaux et les actions

  • Notifier la CNIL « au moindre doute »

  • Comm de crise : ne pas mentir, ne pas surjouer…

Fermer