Depuis le début de la semaine, le petit monde de la sécurité est affolé par une faille : Heartbleed. Nous vous en avions parlé en détail par ici, ou de manière plus simple par là, mais l'ampleur des dégâts ne semble pas encore être perçue de manière claire. Alors que tout le monde se focalise sur les géants du net grâce à un article de Mashable, vous devez en fait surtout vous méfier de ceux qui ne disent rien et qui constituent le gros des troupes.
La faille Heartbleed, qui touche certaines versions d'OpenSSL et a mis à disposition d'attaquants les données sensibles d'internautes depuis des mois voire des années, commence sérieusement à faire parler d'elle. Annoncée lundi soir, elle n'a eu droit à sa dépêche AFP et donc à son réel début de traitement médiatique que mercredi matin.
Heartbleed dévoile aussi une faille du traitement médiatique
Si certains sites se sont alors emparés de l'affaire à coup de guides et autres conseils, on ne peut pas dire que ce soit le fond du problème qui ait intéressé la majorité de nos confrères. Preuve en est, ce matin c'était les déclarations du développeur ayant introduit le bug, Robin Seggelmann, qui focalisait les attentions, et rien d'autres.
Hier, c'était Mashable qui était à l'origine d'un regain médiatique important. En effet, si vous avez lu des dizaines de sites vous dire qu'il fallait changer vos mots de passe Facebook, Google ou même OkCupid (!), c'est grâce au site américain et à ce papier. Tous disaient à peu près la même chose, la CNIL a même recommandé plusieurs fois l'article du Monde qui reprenait ces conseils, qui, s'ils ne sont pas mauvais, n'ont pas vraiment de sens dans le cas qui nous occupe.
Du coup, on doit changer son mot de passe au Crédit Mutuel ou pas ?
En effet, la faille a été découverte il y a un certain temps maintenant, et les équipes qui ont décidé de la rendre publique ont préparé le terrain. Les géants du web ont été prévenus en amont et ont ainsi pu se mettre à jour très rapidement (voir ce billet de Google). Globalement, une majorité des sites concernés par l'article de Mashable et de ses différentes reprises ont donc été très réactifs, seul le cas de Yahoo! a fait les gros titres puisque la société a laissé fuiter des identifiants et des mots de passe en clair pendant près d'une journée, avant de corriger la faille et de l'annoncer via une note technique et l'un des comptes Twitter du groupe. Et c'est tout.
Et c'est bien là tout le problème. Car après tout, que la presse ait tardivement ou mal traité la question, c'est une chose. Sur les sujets assez techniques, c'est même malheureusement encore trop souvent le cas, bien que dans des situations si graves, ce puisse être une vraie préoccupation dont les rédactions devraient se saisir.
Lorsque des données sont en fuite, il faut savoir prendre les bonnes décisions
Mais les sociétés concernées et touchées, elles, n'ont quasiment pas réagi. Il y avait pourtant quatre phases minimales à respecter :
- Couper l'accès aux serveurs touchés
- Mettre à jour OpenSSL, redémarrer les services concernés
- Renouveler les certificats par sécurité
- Informer les clients
Rien que sur la première étape, certains sont allés bien trop lentement. En effet, nous avons évoqué le cas de banques et de revendeurs qui, bien qu'informés, n'ont rien coupé du tout, ont laissé la faille béante, et ont mis entre 24 heures et 48 heures pour réagir. Bref, un manque de professionnalisme certain, qui ne s'est pas arrêté là. Car le renouvellement des certificats n'est pas encore systématique, alors que la clef privée a potentiellement pu être récupérée. Un coup de poker qui sera lourd à digérer si jamais cela venait à être le cas.
Et dans tous les cas, une fois la mise à jour effectuée, l'information des clients potentiellement touchés n'a pas été mise en place. Qui a reçu un mail de sa banque, ou d'un revendeur, lui indiquant qu'en raison de la faille Heartbleed, des données personnelles avaient potentiellement pu être récupérées ? Au sein de l'équipe, nous avons seulement reçu deux mails de ce genre : un de la part d'IFTTT et un second de la part de Wunderlist. Rien de plus. D'autres ont choisi de communiquer via leur blog afin d'informer sur leur situation, mais les cas français sont rares.
Touché, IFTTT a joué la transparence et propose de répondre aux questions de ses utilisateurs
La communication de crise, c'est un métier (souvent mis de côté)
La pire constatation que nous ayons faite pendant toute cette semaine tient d'ailleurs au comportement des sociétés sur les réseaux sociaux. Si celles qui n'ont pas été touchées ont été assez promptes à réagir, ce n'est pas le cas des autres. Le Crédit Agricole a ainsi répondu assez rapidement à nos questions et à ses clients, en indiquant que « les dispositifs de sécurité mis en place par Crédit Agricole pour protéger ses serveurs web n’utilisent pas la bibliothèque open-ssl défaillante. Nos sites de banque en ligne ne sont donc pas concernés par cette faille. » Mise en cause dans un premier temps par un billet publié par Le Plus du Nouvel observateur, la Société Générale a de son côté démenti avoir été touchée.
Les exemples d'internautes interpellant leur banque sur Twitter les premiers jours sans aucune réponse de leur part, alors qu'ils souhaitaient savoir s'ils pouvaient se connecter à leur compte en ligne sont néanmoins légion. Heureusement, depuis ces dernières ont commencé à répondre au cas par cas, mais pas de manière globale, avec une alerte sur leur site par exemple.
On a même relevé le cas du Crédit Mutuel qui indique ne pas avoir été touché par la faille. Si cela est sans doute vrai pour le service d'accès aux comptes, ce n'est pas le cas de leur service de paiement en ligne proposé à leurs clients qui n'a été corrigé que mercredi matin. Le compte n'a d'ailleurs pas répondu à nos interrogations sur le sujet :
@mpetitdant Mathieu, il nous a été confirmé par notre service sécurité que nous n'étions pas concerné par cette faille de sécurité.
— Crédit Mutuel (@Credit_Mut) April 9, 2014
En France, personne pour mettre de l'ordre, pas même la CNIL
Mais ces incertitudes et cette cacophonie ont une raison : personne ne se charge de réguler les comportements dans ce genre de cas. Même les services de l'état n'ont pas communiqué sur la faille et ses conséquences pour ce qui les concerne. Aucune recommandation générale n'a été établie, alors que dans d'autres pays, tout se passe de manière bien plus transparente. Ces dernières heures, on a ainsi vu le Conseil du Trésor Canadien annoncer la fermeture pure et simple de tous les systèmes qui n'étaient pas à jour. Et alors que des produits aussi sensibles que des routeurs de Cisco et Juniper sont concernés, on voit la réserve fédérale américaine demander à ses banques de mettre de l'ordre le plus vite possible.
Chez nous ? Rien. Interrogée sur le sujet, la CNIL n'était pour le moment pas disponible pour nous répondre. Hormis quelques retweets, elle n'a d'ailleurs toujours pas communiqué sur Heartbleed, alors qu'elle est le garant de nos données personnelles. D'ailleurs en matière de fuite de données, il ne semble y avoir aucune obligation pour les services en ligne. Les seuls qui doivent communiquer auprès de la Commission en cas de problèmes sont les opérateurs et les FAI, comme ce fût le cas d'Orange il y a quelques mois. Cela est rappelé sur cette page qui précise que « L'obligation de notifier à la CNIL les violations de données à caractère personnel concerne uniquement les fournisseurs de services de communications électroniques au public, tels que définis par l'article L. 33-1 du code des postes et des communications électroniques. »
Espérons tout de même que la CNIL finira par se saisir de ce dossier et demandera des comptes à tous ceux qui ont laissé fuiter les données sensibles de leurs clients, sans les prévenir et sans même mettre en place de procédure d'information.
Darty aura mis deux jours à corriger la faille, et n'a pas coupé l'accès à son service en attendant
Car ceux-ci sont sans doute nombreux, et ce sont pour le moment les plus silencieux. Nous avions par exemple donné le cas de Darty, dont le serveur sécurisé était concerné, laissant des identifiants et des mots de passe, entre autres, à la portée de n'importe quel attaquant pendant deux jours. Heureusement, la faille a été corrigée mercredi en fin de journée et le certificat mis à jour hier.
Dans un premier temps, le revendeur a cessé de nous répondre, et son service presse n'a pas répondu à nos questions sur le sujet, sur ce qui sera mis en place pour informer les clients et ce qui sera fait, notamment dans le cas où ils verraient leurs comptes piratés suite à cette fuite. Des cas qui pourraient, si rien n'est fait, terminer sur le bureau des associations de consommateurs, qui devraient elles aussi finir par se pencher sur la question. Finalement, une réponse nous a été apportée, et les clients seront contactés.
Changer ses mots de passe maintenant, ou apprendre à gérer sa sécurité ?
Reste maintenant la question des mots de passe. Devez-vous les changer, et devez-vous le faire uniquement sur des sites américains ? Contrairement à ce que conseillent plusieurs de nos confrères, il ne faut pas le faire partout, tout de suite. En effet, il faut s'assurer qu'un site ne soit pas ou plus concerné avant de changer votre mot de passe. Si jamais cela était effectué trop tôt, le nouveau mot de passe pourrait fuiter à son tour.
Néanmoins, à terme, vous devrez changer TOUS vos mots de passe, sur TOUS les services que vous utilisez. Il faudra néanmoins respecter quelques règles, en ayant en tête une chose : la sécurité amène forcément de la complexité. Vouloir éviter tous les problèmes en utilisant le nom du chien de la famille et la date de naissance de la petite dernière comme mot de passe, même sur des sites sensibles, ne fait que vous exposer plus à un potentiel piratage de vos comptes. Vous n'avez jamais eu de problème ? C'est aussi ce que disent ceux qui n'ont jamais fait de sauvegarde de données... jusqu'au jour où ils perdent tout.
L'outil informatique impose des attitudes qui se doivent d'être saines pour vous éviter des tracas importants tels que les usurpations d'identités, l'accès frauduleux à vos comptes, etc. Vous devez donc impérativement prendre ces questions au sérieux.
La CNIL propose déjà un guide de base pour ce qui est de choisir vos mots de passe. Mais cela n'est pas tout. N'oubliez pas d'utiliser des mots de passe différents, surtout sur les services sensibles, et si possible de les renouveler de temps en temps, sans attendre qu'une faille énorme touche une majorité de sites web. De plus, sur des sites importants comme ceux de votre banque, les réseaux sociaux, l'accès à vos emails, il existe en général des procédures de sécurité complémentaires comme l'authentification en deux étapes (2FA), le fait d'indiquer si vous êtes sur un ordinateur de confiance ou non : utilisez-les !
Et la prochaine fois que vous entendez parler d'une faille importante et vérifiée, pas comme dans le cas des faux bugs Facebook : faites passer le message, informez vos proches, faites dans la pédagogie, et ce, que la presse joue correctement son rôle ou non. Si les réseaux sociaux servent effectivement à partager en masse des photos de chats trop mignons, ils peuvent aussi être une arme décisive lorsqu'il s'agit de faire passer une information saine et utile.
