Heartbleed : les réponses de la CNIL

Suite à la faille Heartbleed, dévoilée la semaine dernière, nous avons décidé de contacter la CNIL pour savoir quelle était sa position, ses pouvoirs en la matière et si des procédures de contrôle allaient découler des comportements, parfois un peu légers, qui ont pu être constatés ces derniers jours. 

La plateforme de paiement du Crédit Mutuel a été vulnérable jusqu'à mercredi matin 

La semaine dernière, la faille Heartbleed faisait trembler le web. En effet, on apprenait qu'en raison d'un bug au sein d'une extension d'OpenSSL, une majorité des serveurs sécurisés utilisés par les services en ligne pouvaient divulguer des informations personnelles et confidentielles (voir notre analyse ici ou là). Présente depuis au moins deux ans, sa dangerosité a été renforcée par la divulgation de l'information, puisque n'importe qui ou presque pouvait tenter de l'exploiter. Si rapidement, de nombreux sites en ligne ont été mis à jour, et leurs certificats renouvelés, cela n'a pas été le cas de tous.

Fuite de données, réactions et communication : le trio infernal

Certains ont en effet attendu 24h ou même 48h, sans couper le service entre le temps où le fait qu'ils étaient touchés a été confirmé, et la résolution du problème. Résultat, des centaines, voire des milliers d'utilisateurs ont eu leurs données exposées à tous les petits curieux de passage, sans que la moindre information ne leur soit donnée. Et si ces derniers jours on en a vu certains communiquer sur le sujet, c'est avec un certain retard, et parfois une tendance à minimiser le problème.

Ainsi, le mail envoyé par Darty a ses clients, que nous avons pu nous procurer, indique qu'« une faille d'encodage utilisé par la majorité des sites de vente en ligne a été découverte ce lundi 7 avril. Suite à cette information, nous avons immédiatement mobilisé nos équipes techniques afin de neutraliser la faille dans les plus brefs délais. À ce jour, aucun indice ne nous laisse penser que des données ont été impactées mais, par précaution, nous vous suggérons de modifier votre mot de passe. »

Autant dire que l'on est loin d'un aveu d'un trou béant dans les serveurs pendant 48 heures avec la possibilité de voir des données personnelles et des mots de passe fuiter. Car si Darty évoque n'avoir aucun indice de « données impactées », c'est bien des mots de passe en clair qui circulaient dans leurs serveurs restés en ligne, tout comme chez d'autres.

En effet, de nombreux témoignages que nous avons reçus ces derniers jours évoquent des cas d'organismes bancaires et de sites qui auraient tardé à colmater la faille et auraient donc laissé s'échapper des données. Au Canada, les premiers effets commencent à se faire sentir, notamment au niveau des institutions telles que l'Agence du Revenu du Canada, qui va contacter les comptes potentiellement touchés par recommandé dans les jours à venir, pour éviter les tentatives de phishing par email.

Aucune obligation légale, mais cela devrait finir par arriver

Nous avons eu l'occasion d'échanger avec la CNIL sur le sujet, afin de savoir quelle était sa position et surtout ses possibilités d'action dans de pareils cas. Et il faut tout d'abord savoir qu'il n'existe pour le moment aucune obligation légale pour un site d'informer ses utilisateurs en cas de pareille fuite. C'est uniquement le cas depuis quelques mois suite à la transposition d'un dispositif issu du Paquet Télécom en loi française, c'est le fameux article 34 bis de la loi 78-17 du 6 janvier 1978 modifiée qui ne s'impose qu'aux FAI et opérateurs de téléphonie mobile. Nous l'avons déjà évoqué plusieurs fois, et c'est notamment lui qui avait été mis en œuvre dans le cas de la fuite de données d'Orange, qui avait indiqué à ses clients ce qui s'était passé et la procédure à suivre.

Mais c'est tout. Il y a bien une modification du règlement relatif aux données personnelles qui est en cours, mais elle n'est pas encore applicable. Adoptée par le Parlement Européen, elle devra encore passer devant le Conseil avant de pouvoir être mise en œuvre. Un document du G29 (le groupement des CNIL européennes), adopté le 25 mars dernier, était d'ailleurs l'occasion de diffuser des études de cas sur les comportements à adopter en cas de fuite de données, et des obligations qui allaient être mises en place.

La CNIL dispose d'un pouvoir de contrôle : va-t-elle l'utiliser ?

Mais bien qu'il n'existe aucune obligation légale, cela ne veut pas dire que la CNIL est totalement impuissante. Il lui reste en effet son pouvoir de contrôle. Et la Commission nous rappelle que dans l'article 34 de la loi 78-17 du 6 janvier 1978 modifiée, il est stipulé que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » Actuellement, des contrôles peuvent être déclenchés dans trois cas : 

• Selon le programme défini par la CNIL
• En cas de plainte jugée valide
• Sur décision de la CNIL elle-même

Il ne reste donc maintenant plus qu'à voir si les services de la CNIL jugeront bon d'aller demander des comptes à tous les services qui auront été identifiés comme touchés par la faille Heartbleed. Pour le moment, impossible de savoir si c'est le cas puisque les procédures en cours ne peuvent être évoquées par nos contacts. Nul doute que l'intervention de sa présidente, à l'occasion de la conférence TEDx à Issy-les-Moulineaux, le 29 avril prochain, sera analysée en conséquence. En effet, celle-ci tombe plutôt à pic puisque le sujet annoncé est « Comment assurer une sureté pour nos informations tout en nous laissant une liberté de choix ? »

En attendant, aucune communication complète n'a été publiée sur le sujet par la Commission, qui s'est contenté de mettre en avant ses guides relatifs à la gestion des mots de passe ou la sécurité des données personnelles.