Comme nous l'avons évoqué dans un précédent article, la faille Heartbleed a touché de nombreux services, certains étant assez largement utilisés en France. Darty, qui avait tardé à corriger la faille sur son serveur sécurisé, vient de nous confirmer que les clients seraient finalement avertis. Tout le monde fera-t-il de même ?
Après une semaine difficile pour les administrateurs systèmes qui ont dû mettre à jour en quatrième vitesse tous leurs services exploitant une version d'OpenSSL touchée par Heartbleed, vient le temps des retombées. Comme nous l'évoquions dans un précédent article, de nombreux sites français ont été touchés, et pour le moment rares sont ceux qui ont communiqué ouvertement sur le sujet.
Il faut dire que la CNIL n'a pas encore mis le nez dans cette affaire, et qu'elle n'impose une communication en cas de fuites de données que dans le cas des opérateurs de téléphonie mobile et des FAI. Une situation qui pourrait d'ailleurs changer assez rapidement puisque les CNIL européennes sont en train de chercher à étendre ces obligations à l'ensemble des services en ligne. Un point sur lequel nous reviendrons prochainement.
Quoi qu'il en soit, le silence est pour le moment de mise chez tous ceux dont nous avons constaté qu'ils avaient été touchés par la faille, laissant des données personnelles ou des identifiants / mots de passe fuiter. C'était le cas de Darty, dont nous avions relevé qu'ils avaient laissé leurs serveurs non patchés en ligne pendant près de 48 heures, sans la moindre communication une fois que tout avait été corrigé.
@David_NXi @FradiFrad Oui
— Darty (@Darty_Officiel) April 11, 2014
Après plusieurs demandes de notre part, le compte Twitter officiel du revendeur nous a confirmé que les clients potentiellement touchés seront contactés, soit tous ceux qui se sont connectés entre lundi et mercredi. Le contenu ou la forme de cette communication ne nous a pas été confirmé, si ce n'est pour nous indiquer qu'il sera conseillé de mettre à jour le mot de passe du compte. Si jamais vous venez à la recevoir, n'hésitez pas à nous le faire savoir.
Reste maintenant tous les autres. Et c'est sans doute cela qui va se jouer la semaine prochaine. Le sérieux des différents acteurs concernés et leur capacité à communiquer autour d'un problème si grave, et d'apporter des solutions à leurs clients seront mis à rude épreuve. Espérons que les pouvoir publics et la CNIL joueront alors tout leur rôle.
