Heartbleed : les réponses de la CNIL
Prochaine étape : les contrôles ?
Le 14 avril 2014 à 14h00
6 min
Internet
Internet
Suite à la faille Heartbleed, dévoilée la semaine dernière, nous avons décidé de contacter la CNIL pour savoir quelle était sa position, ses pouvoirs en la matière et si des procédures de contrôle allaient découler des comportements, parfois un peu légers, qui ont pu être constatés ces derniers jours.
La plateforme de paiement du Crédit Mutuel a été vulnérable jusqu'à mercredi matin
La semaine dernière, la faille Heartbleed faisait trembler le web. En effet, on apprenait qu'en raison d'un bug au sein d'une extension d'OpenSSL, une majorité des serveurs sécurisés utilisés par les services en ligne pouvaient divulguer des informations personnelles et confidentielles (voir notre analyse ici ou là). Présente depuis au moins deux ans, sa dangerosité a été renforcée par la divulgation de l'information, puisque n'importe qui ou presque pouvait tenter de l'exploiter. Si rapidement, de nombreux sites en ligne ont été mis à jour, et leurs certificats renouvelés, cela n'a pas été le cas de tous.
Fuite de données, réactions et communication : le trio infernal
Certains ont en effet attendu 24 h ou même 48 h, sans couper le service entre le temps où le fait qu'ils étaient touchés a été confirmé, et la résolution du problème. Résultat, des centaines, voire des milliers d'utilisateurs ont eu leurs données exposées à tous les petits curieux de passage, sans que la moindre information ne leur soit donnée. Et si ces derniers jours on en a vu certains communiquer sur le sujet, c'est avec un certain retard, et parfois une tendance à minimiser le problème.
Ainsi, le mail envoyé par Darty a ses clients, que nous avons pu nous procurer, indique qu'« une faille d'encodage utilisé par la majorité des sites de vente en ligne a été découverte ce lundi 7 avril. Suite à cette information, nous avons immédiatement mobilisé nos équipes techniques afin de neutraliser la faille dans les plus brefs délais. À ce jour, aucun indice ne nous laisse penser que des données ont été impactées mais, par précaution, nous vous suggérons de modifier votre mot de passe. »
Autant dire que l'on est loin d'un aveu d'un trou béant dans les serveurs pendant 48 heures avec la possibilité de voir des données personnelles et des mots de passe fuiter. Car si Darty évoque n'avoir aucun indice de « données impactées », c'est bien des mots de passe en clair qui circulaient dans leurs serveurs restés en ligne, tout comme chez d'autres.
En effet, de nombreux témoignages que nous avons reçus ces derniers jours évoquent des cas d'organismes bancaires et de sites qui auraient tardé à colmater la faille et auraient donc laissé s'échapper des données. Au Canada, les premiers effets commencent à se faire sentir, notamment au niveau des institutions telles que l'Agence du Revenu du Canada, qui va contacter les comptes potentiellement touchés par recommandé dans les jours à venir, pour éviter les tentatives de phishing par email.
Aucune obligation légale, mais cela devrait finir par arriver
Nous avons eu l'occasion d'échanger avec la CNIL sur le sujet, afin de savoir quelle était sa position et surtout ses possibilités d'action dans de pareils cas. Et il faut tout d'abord savoir qu'il n'existe pour le moment aucune obligation légale pour un site d'informer ses utilisateurs en cas de pareille fuite. C'est uniquement le cas depuis quelques mois suite à la transposition d'un dispositif issu du Paquet Télécom en loi française, c'est le fameux article 34 bis de la loi 78 - 17 du 6 janvier 1978 modifiée qui ne s'impose qu'aux FAI et opérateurs de téléphonie mobile. Nous l'avons déjà évoqué plusieurs fois, et c'est notamment lui qui avait été mis en œuvre dans le cas de la fuite de données d'Orange, qui avait indiqué à ses clients ce qui s'était passé et la procédure à suivre.
Mais c'est tout. Il y a bien une modification du règlement relatif aux données personnelles qui est en cours, mais elle n'est pas encore applicable. Adoptée par le Parlement Européen, elle devra encore passer devant le Conseil avant de pouvoir être mise en œuvre. Un document du G29 (le groupement des CNIL européennes), adopté le 25 mars dernier, était d'ailleurs l'occasion de diffuser des études de cas sur les comportements à adopter en cas de fuite de données, et des obligations qui allaient être mises en place.
La CNIL dispose d'un pouvoir de contrôle : va-t-elle l'utiliser ?
Mais bien qu'il n'existe aucune obligation légale, cela ne veut pas dire que la CNIL est totalement impuissante. Il lui reste en effet son pouvoir de contrôle. Et la Commission nous rappelle que dans l'article 34 de la loi 78 - 17 du 6 janvier 1978 modifiée, il est stipulé que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » Actuellement, des contrôles peuvent être déclenchés dans trois cas :
- Selon le programme défini par la CNIL
- En cas de plainte jugée valide
- Sur décision de la CNIL elle-même
Il ne reste donc maintenant plus qu'à voir si les services de la CNIL jugeront bon d'aller demander des comptes à tous les services qui auront été identifiés comme touchés par la faille Heartbleed. Pour le moment, impossible de savoir si c'est le cas puisque les procédures en cours ne peuvent être évoquées par nos contacts. Nul doute que l'intervention de sa présidente, à l'occasion de la conférence TEDx à Issy-les-Moulineaux, le 29 avril prochain, sera analysée en conséquence. En effet, celle-ci tombe plutôt à pic puisque le sujet annoncé est « Comment assurer une sureté pour nos informations tout en nous laissant une liberté de choix ? »
En attendant, aucune communication complète n'a été publiée sur le sujet par la Commission, qui s'est contenté de mettre en avant ses guides relatifs à la gestion des mots de passe ou la sécurité des données personnelles.
Heartbleed : les réponses de la CNIL
-
Fuite de données, réactions et communication : le trio infernal
-
Aucune obligation légale, mais cela devrait finir par arriver
-
La CNIL dispose d'un pouvoir de contrôle : va-t-elle l'utiliser ?
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 14/04/2014 à 14h24
crédit mutuel une banque a qui parler qui cause de trop…
Le 14/04/2014 à 14h38
À ce jour, aucun indice ne nous laisse penser que des données ont été impactées
Bravo Darty, de mieux en mieux…
Vous voulez un indice monsieur “contrat de confiance” ? C’est cadeau, ne me remerciez pas : http://imgur.com/FgjuJBf
Quand je vous disais qu’ils nous prennent pour des jambons… " />
Le 14/04/2014 à 14h59
Nul doute que l’intervention de sa présidente, à l’occasion de la conférence TEDx à Issy-les-Moulineaux, le 29 avril prochain, sera analysée en conséquence. En effet, celle-ci tombe plutôt à pic puisque le sujet annoncé est « Comment assurer une sureté pour nos informations tout en nous laissant une liberté de choix ? »
…ou comment se faire troller par le hasard " />
M*rde, faut tout réécrire " />
Le 14/04/2014 à 15h02
Nous avons eu l’occasion d’échanger avec la CNIL sur le sujet, afin de savoir quelle était sa position et surtout ses possibilités d’action dans de pareils cas. Et il faut tout d’abord savoir qu’il n’existe pour le moment aucune obligation légale pour un site d’informer ses utilisateurs en cas de pareille fuite. C’est uniquement le cas depuis quelques mois suite à la transposition d’un dispositif issu du Paquet Télécom en loi française, c’est le fameux article 34 bis de la loi 78-17 du 6 janvier 1978 modifiée qui ne s’impose qu’aux FAI et opérateurs de téléphonie mobile. Nous l’avons déjà évoqué plusieurs fois, et c’est notamment lui qui avait été mis en œuvre dans le cas de la fuite de données d’Orange, qui avait indiqué à ses clients ce qui s’était passé et la procédure à suivre.
Mais c’est tout. Il y a bien une modification du règlement relatif aux données personnelles qui est en cours, mais elle n’est pas encore applicable.
T’es sûr de ça, cela me semble bien restrictif qu’elle ne s’applique qu’aux FAI et opérateurs telecom
Zataz avait d’ailleurs fait appel à un avocat sur le sujet et pour lui, je cite : “L’obligation de notification concerne les données traitées dans le cadre de la « fourniture de services de communications électroniques ouverts au public », ce incluant également les fournisseurs « prenant en charge les dispositifs de collecte de donnée et d’identification ».”
Et qui dit collecte de donnée et d’identification dit tout site web contenant des données personnelles, et non uniquement les FAI et opérateurs télécom
Le 14/04/2014 à 15h33
En attendant, aucune communication complète n’a été publiée sur le sujet par la Commission, qui s’est contenté de mettre en avant ses guides relatifs à la gestion des mots de passe ou la sécurité des données personnelles.
Vraiment surpris qu’ils n’aient pas tiré la sonnette d’alarme générale auprès des médias… En tant qu’acteur institutionnel et public, la CNIL avait largement les moyens de communiquer pour informer les utilisateurs, ce qui aurait été relayé plus rapidement par la presse grand public que des inquiétudes complexes à comprendre sur des sites de geeks (pour prendre le point de vue des médias “traditionnels”).
La CNIL a encore du chemin à faire pour avoir la légitimité de se poser en justicier irréprochable, comme elle a un peu trop tendance à le faire sans en avoir les moyens. Pour faire plus imagé, se balader avec un T-shirt “I fight for the users”, c’est bien, mais quand les missiles commencent à partir, c’est mieux d’être vraiment sur le front.
Le 14/04/2014 à 17h39
Vous voulez un indice monsieur “contrat de confiance” ? C’est cadeau, ne me remerciez pas :http://imgur.com/FgjuJBf
Ca c’est du camouflage de champion! " />
Indice…
Le 14/04/2014 à 19h39
Le 15/04/2014 à 06h26
Est-ce qu’on peut enfin changer ses mots de passe ?
Ou y a-t-il encore des sites non patchés ?
Le 15/04/2014 à 06h46
C’est de l’hexadécimal donc IMPOSSIBLE à déchiffrer
Depuis quand l’hexadécimal est-il une méthode de chiffrement ? Aux dernières nouvelles il s’agit d’un encodage… " />
Le 15/04/2014 à 06h55
Dites, a chaque article sur ce sujet, vous nous remettez l’image sur le crédit-mutuel. Sachant que les autres banques ne doivent pas être mieux sur ce point, vous avez un problème avec eux ? Ou juste pas de moyens pour l’illustration des articles ?
Le 15/04/2014 à 06h57
Le 15/04/2014 à 07h15
Non, c’est une base
L’ASCII est un codage.
Effectivement tu as raison… c’est un peu comme si je te disais que ton avatar représentait Zelda " />