Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Un député veut que la CNIL puisse constater les failles de sécurité des sites

La revanche des Sith

Un député veut que la CNIL puisse constater les failles de sécurité des sites

Le 12 juin 2013 à 09h11

Établir des constatations depuis n’importe quel espace librement accessible au public sur Internet. Voilà ce que pourrait être autorisée à faire la Commission nationale de l’informatique et les libertés (CNIL) si jamais l’amendement déposé hier par le député François Brottes était adopté par le Parlement. L’objectif ? Que l’autorité administrative puisse être amenée à détecter d’éventuelles failles de sécurité, puis en tirer les conclusions nécessaires. 

cnil

 

Sur les bancs de l’Assemblée nationale depuis plusieurs semaines, le projet de loi sur la consommation continue de faire émerger différents amendements rédigés par les élus du Palais Bourbon. Après le député UMP Lionel Tardy, qui ne veut pas d’un blocage de sites obtenu auprès du juge par la DGCCRF, c’est au tour de François Brottes (PS) de déposer un amendement remarqué. Le parlementaire souhaite en effet que les pouvoirs de la CNIL soient élargis.

 

Mais pas n’importe quels pouvoirs : ceux de contrôle. « Le cadre juridique actuel ne prévoit la mise en œuvre de ce pouvoir de contrôle (...) que dans le cadre de contrôle sur place, ou de contrôles sur convocation. Ainsi, il n’est actuellement pas possible pour la CNIL, de procéder à des constations unilatérales, notamment en ligne » regrette aujourd’hui l’élu socialiste. Gwendal Le Grand, chef du service de l’expertise informatique de la CNIL, nous expliquait en effet l’année dernière que l’institution est autorisée à effectuer deux types de contrôles. Premièrement, elle peut se rendre dans des structures, sans les prévenir, afin de vérifier sur place si la loi Informatique et Libertés est correctement appliquée. Deuxièmement, des contrôles a posteriori peuvent également être déclenchés, par exemple suite à des plaintes reçues par la CNIL. 

 

Ces pouvoirs de contrôle s'articulent ensuite avec les pouvoirs de sanction dont jouit l'institution, qui peuvent également s'appliquer en cas de défaut de sécurisation des données personnelles. À cet égard, la CNIL expliquait l’année dernière que les fournisseurs de services de communications électroniques (FAI et opérateurs) sont désormais obligés de notifier des violations de données à caractère personnel tel que prévu par la directive 2002/58/CE. 

Des constatations utiles effectuées depuis Internet 

Ainsi, François Brottes veut que l’autorité de protection des données personnelles ait une nouvelle corde à son arc. L’amendement qu’il a déposé hier vise effectivement à autoriser l’institution à procéder à des contrôles inopinés sur des sites Internet de son choix. « Il permettra ainsi aux membres et agents habilités de la CNIL d’accéder et de se maintenir dans des systèmes de traitement automatisé de données, comme pourrait le faire n’importe quel internaute à l’occasion de sa navigation sur internet » explique le député dans son exposé des motifs. Le but ? « Procéder notamment à la constatation d’une faille de sécurité ».

 

Sur un plan plus juridique, l’élu souhaite que la loi Informatique et Libertés de 1978 voit son article 44 complété des dispositions suivantes :

 

« En dehors des contrôles sur place et sur convocation, ils [les membres et agents des services habilités de la CNIL, ndlr] peuvent procéder à toute constatation utile ; ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. »

 

 

Autrement dit, la CNIL pourrait ainsi établir des « constatations utiles » à partir de ce qui est accessible à tout un chacun sur le réseau, avec pour seule limite de ne pas contourner d’éventuels dispositifs de sécurité. En filigrane, on comprend vite que l’idée est de permettre à l’autorité de vérifier plus fréquemment et plus facilement que les responsables de traitements de données personnelles se conforment aux règles relatives à la sécurisation. Les exemples de sites stockant les identifiants et mots de passe de leurs utilisateurs en clair ayant régulièrement fait face ces derniers temps...

Amendement à la loi Godfrain 

Toutefois, dans certains cas, de telles opérations de constatation pourraient s’apparenter à une intrusion frauduleuse dans un système de traitement automatisé de données, telle que réprimée par les articles 323 - 1 et suivants du Code pénal. Mais François Brottes a tout prévu ! Un second amendement déposé dans la foulée par le député vise à accorder une irresponsabilité pénale aux membres et agents de la CNIL dans ce cadre bien précis. 

Commentaires (18)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Oh oui! Dites moi qu’on pourrait informer la CNIL des failles qu’on rencontre, qu’on puisse enfin avoir quelqu’un vers qui se tourner quand l’éditeur du site nous envoie ch* (voir nous menace).



“Tu veux pas corriger ta faille? Tu diras ça à la CNIL mon petit…”



Par contre ils risquent d’avoir besoin d’une petite augmentation de budget.

votre avatar



Toutefois, dans certains cas, de telles opérations de constatation pourraient s’apparenter à une intrusion frauduleuse dans un système de traitement automatisé de données

Si les informations sont visibles depuis Internet (donc publiques) je ne vois pas où est la fraude. <img data-src=" />

votre avatar

L’intention de départ est louable, mais je crains des dérapages…



Imaginons que l’état rende obligatoire pour tout hébergeur de fichier l’usage de logiciels agréés vérifiant des “empreintes numériques”, est-ce que le fait qu’un hébergeur ne s’y conformerait pas serait assimilable à un défaut de sécurité ?



Parce que de faille de sécurité à défaut de sécurité, on y est vite…



Vous voyez un peu l’idée… <img data-src=" />

votre avatar







fbzn a écrit :



L’intention de départ est louable, mais je crains des dérapages…



Imaginons que l’état rende obligatoire pour tout hébergeur de fichier l’usage de logiciels agréés vérifiant des “empreintes numériques”, est-ce que le fait qu’un hébergeur ne s’y conformerait pas serait assimilable à un défaut de sécurité ?



Parce que de faille de sécurité à défaut de sécurité, on y est vite…



Vous voyez un peu l’idée… <img data-src=" />







Faire un internet Franco-Français ? Mais je croyais que cétait leur intention depuis le début moi <img data-src=" />


votre avatar







CUlater a écrit :



Si les informations sont visibles depuis Internet (donc publiques) je ne vois pas où est la fraude. <img data-src=" />







Disons que quelques fois les failles sont tellement connues et facilement exploitable qu’il suffit juste à la CNIL de faire un test, ce n’est pas forcement comme il y a peu, toutes le adresses mail avec le nom des utilisateurs indexé par google.



Ça pourrait être une bonne chose car à par Zataz aujourd’hui, il y a rien d’officiel à ma connaissance, surtout que l’on fait de plus en plus de paiement en ligne.


votre avatar







CUlater a écrit :



Si les informations sont visibles depuis Internet (donc publiques) je ne vois pas où est la fraude. <img data-src=" />





Sauf que la découverte, l’exploration d’une faille (pour se rendre compte de l’étendue des dégâts où même des fois tu ne te rends pas compte immédiatement que tu es dans la faille) peut-être considéré comme de l’accès/maintient frauduleux dans un système d’information : article 323-1 du code pénal. 30k€ d’amendes et 2 ans de prison.



legifrance.gouv.fr République Française



T’inquiète pas que des boites le connaissent bien cet article.



Avoir un organisme qui y est immunisé serait sympa si on peut passer par lui pour signaler les failles aux entreprises récalcitrantes.


votre avatar







Khalev a écrit :



Avoir un organisme qui y est immunisé serait sympa si on peut passer par lui pour signaler les failles aux entreprises récalcitrantes.







Je me demande à ce sujet si Zataz n’est pas juste toléré par les autorités, il me semble même qu’ils avaient eu qq soucis judiciaire avec une boîte alors qu’ils ne leur avaient que signaler la faille.


votre avatar

ah ben c’est une sacrée bonne idée ça!

ça pourra permettre à ceux qui trouvent une faille de sécu d’en référer à la CNIL sans être forcément poursuivi.



on a une idée de la popularité de l’amendement? il a des chances de passer?

votre avatar

Chic ça va pouvoir faire 200 nouveaux emplois à 20 K€/mois payés par le contribuable, avec des gens aussi doués en informatique qu’à la hadopi.

votre avatar







Zyami a écrit :



Je me demande à ce sujet si Zataz n’est pas juste toléré par les autorités, il me semble même qu’ils avaient eu qq soucis judiciaire avec une boîte alors qu’ils ne leur avaient que signaler la faille.





Ils ne sont pas tolérés, c’est juste que les boites hésitent plus à s’attaquer à Zataz qu’à un illustre inconnu comme toi et moi.



J’ai déjà reçu des menaces, en général j’insiste pas et soit ça part en full disclosure si c’est pas important, soit j’informe Zataz si c’est critique (mais ce point là est assez rare en général les failles critiques sont prises au sérieux par les boites).


votre avatar







Khalev a écrit :



Ils ne sont pas tolérés, c’est juste que les boites hésitent plus à s’attaquer à Zataz qu’à un illustre inconnu comme toi et moi.



J’ai déjà reçu des menaces, en général j’insiste pas et soit ça part en full disclosure si c’est pas important, soit j’informe Zataz si c’est critique (mais ce point là est assez rare en général les failles critiques sont prises au sérieux par les boites).







C’est quand même assez dingue quand on y pense.

Si ma banque laissait trainer mes logs bancaires et mon identité personnel sur un coin de bureau aux yeux de tous, je pourrais me retourner contre eux, si c’est un site internet qui fait cela, c’est moi qui suit poursuivi.


votre avatar

Mais il n’est absolument pas question de constater des failles de sécurité dans ces amendements …. Ce ne fais pas parti du domaine de compétence de la cnil et d’ailleurs n’en a pas vraiment les moyens.



Ces amendement n’ont comme objectif que de permettre la cnil de constater des publications illégales de données personnels.



Faut peut être arrêter d’utiliser le mot sécurité partout et pour rien comme le fait déjà la majorité de nos politiciens.

votre avatar







Khalev a écrit :



J’ai déjà reçu des menaces, en général j’insiste pas et soit ça part en full disclosure si c’est pas important, soit j’informe Zataz si c’est critique (mais ce point là est assez rare en général les failles critiques sont prises au sérieux par les boites).





La sortie de cet amendement et le procès de Serge Humpich en a refroidis plus d’un. A l’époque quant on constatait une faille on adressait directement un mail à la boite en question avec plus ou moins de bonheur dans la résolution du problème (qui se souvient du webmail de wanadoo plus de 6 mois avant correction).



Il y avait nul besoin de passer par zataz (qui fait très bien son boulot mine de rien sans compter la veille). Zataz était plus pour moi une plateforme de veille de sécurité et où l’on pouvait aussi s’informer.



votre avatar







refuznik a écrit :



La sortie de cet amendement et le procès de Serge Humpich en a refroidis plus d’un. A l’époque quant on constatait une faille on adressait directement un mail à la boite en question avec plus ou moins de bonheur dans la résolution du problème (qui se souvient du webmail de wanadoo plus de 6 mois avant correction).







Je me souviens encore du documentaire, tellement le GIE et l’état m’avaient outré, dans leur jusque boutisme.



En gros, il y a des failles béantes, mais surtout on ne fait rien. Que M. Humpich n’ait pas été embauché à l’américaine, je veux bien, mais ils auraient pu faire le ménage dans leur système.



Résultat en 2013 :

J’ai vu un documentaire sur les petits escrocs qui dupliquent des CB … Les pistes magnétiques fonctionnent encore…

Et comme le matériel de création de carte magnétique est en vente libre…


votre avatar







Khalev a écrit :





Par contre ils risquent d’avoir besoin d’une petite augmentation de budget.





Je propose la liquidation de hadopi et le transfert du budget (gaspillé) de cette dernière vers la cnil. Ca fera pas des miracles, mais c’est déjà un début.



Et puis, va pas leur donner l’idée de rajouter une taxe supplémentaire sur le matériel informatique pour remplir le budget <img data-src=" />


votre avatar
votre avatar







Groumfy a écrit :



Résultat en 2013 :

J’ai vu un documentaire sur les petits escrocs qui dupliquent des CB … Les pistes magnétiques fonctionnent encore…

Et comme le matériel de création de carte magnétique est en vente libre…





Bon je n’ai pas vu le reportage en question mais je vais mettre quelques bémols.

La plupart du temps, ils récupèrent la piste magnétique d’une victime via un lecteur et vont reproduire la carte pour utilisation dans un autre pays genre la roumanie, bulgarie et autres.



Secundo, je suis désolé mais que le matériel soit ou pas en vente libre est un faux débat.


votre avatar







refuznik a écrit :



Bon je n’ai pas vu le reportage en question mais je vais mettre quelques bémols.

La plupart du temps, ils récupèrent la piste magnétique d’une victime via un lecteur et vont reproduire la carte pour utilisation dans un autre pays genre la roumanie, bulgarie et autres.



Secundo, je suis désolé mais que le matériel soit ou pas en vente libre est un faux débat.







Ou sur les autoroutes, sur internet.



Le matériel en vente libre : je reproche aux banques d’être restées sur un système facile à copier. Donc on revient aux travaux de M. Humpich.


Un député veut que la CNIL puisse constater les failles de sécurité des sites

  • Des constatations utiles effectuées depuis Internet 

Fermer