Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Heartbleed : les réponses de la CNIL

Prochaine étape : les contrôles ?

Suite à la faille Heartbleed, dévoilée la semaine dernière, nous avons décidé de contacter la CNIL pour savoir quelle était sa position, ses pouvoirs en la matière et si des procédures de contrôle allaient découler des comportements, parfois un peu légers, qui ont pu être constatés ces derniers jours. 

Crédit Mutuel Heartbleed 

La plateforme de paiement du Crédit Mutuel a été vulnérable jusqu'à mercredi matin 

 

La semaine dernière, la faille Heartbleed faisait trembler le web. En effet, on apprenait qu'en raison d'un bug au sein d'une extension d'OpenSSL, une majorité des serveurs sécurisés utilisés par les services en ligne pouvaient divulguer des informations personnelles et confidentielles (voir notre analyse ici ou ). Présente depuis au moins deux ans, sa dangerosité a été renforcée par la divulgation de l'information, puisque n'importe qui ou presque pouvait tenter de l'exploiter. Si rapidement, de nombreux sites en ligne ont été mis à jour, et leurs certificats renouvelés, cela n'a pas été le cas de tous.

Fuite de données, réactions et communication : le trio infernal

Certains ont en effet attendu 24h ou même 48h, sans couper le service entre le temps où le fait qu'ils étaient touchés a été confirmé, et la résolution du problème. Résultat, des centaines, voire des milliers d'utilisateurs ont eu leurs données exposées à tous les petits curieux de passage, sans que la moindre information ne leur soit donnée. Et si ces derniers jours on en a vu certains communiquer sur le sujet, c'est avec un certain retard, et parfois une tendance à minimiser le problème.

 

Ainsi, le mail envoyé par Darty a ses clients, que nous avons pu nous procurer, indique qu'« une faille d'encodage utilisé par la majorité des sites de vente en ligne a été découverte ce lundi 7 avril. Suite à cette information, nous avons immédiatement mobilisé nos équipes techniques afin de neutraliser la faille dans les plus brefs délais. À ce jour, aucun indice ne nous laisse penser que des données ont été impactées mais, par précaution, nous vous suggérons de modifier votre mot de passe. »

 

Autant dire que l'on est loin d'un aveu d'un trou béant dans les serveurs pendant 48 heures avec la possibilité de voir des données personnelles et des mots de passe fuiter. Car si Darty évoque n'avoir aucun indice de « données impactées », c'est bien des mots de passe en clair qui circulaient dans leurs serveurs restés en ligne, tout comme chez d'autres.

 

En effet, de nombreux témoignages que nous avons reçus ces derniers jours évoquent des cas d'organismes bancaires et de sites qui auraient tardé à colmater la faille et auraient donc laissé s'échapper des données. Au Canada, les premiers effets commencent à se faire sentir, notamment au niveau des institutions telles que l'Agence du Revenu du Canada, qui va contacter les comptes potentiellement touchés par recommandé dans les jours à venir, pour éviter les tentatives de phishing par email.

Aucune obligation légale, mais cela devrait finir par arriver

Nous avons eu l'occasion d'échanger avec la CNIL sur le sujet, afin de savoir quelle était sa position et surtout ses possibilités d'action dans de pareils cas. Et il faut tout d'abord savoir qu'il n'existe pour le moment aucune obligation légale pour un site d'informer ses utilisateurs en cas de pareille fuite. C'est uniquement le cas depuis quelques mois suite à la transposition d'un dispositif issu du Paquet Télécom en loi française, c'est le fameux article 34 bis de la loi 78-17 du 6 janvier 1978 modifiée qui ne s'impose qu'aux FAI et opérateurs de téléphonie mobile. Nous l'avons déjà évoqué plusieurs fois, et c'est notamment lui qui avait été mis en œuvre dans le cas de la fuite de données d'Orange, qui avait indiqué à ses clients ce qui s'était passé et la procédure à suivre.

 

Mais c'est tout. Il y a bien une modification du règlement relatif aux données personnelles qui est en cours, mais elle n'est pas encore applicable. Adoptée par le Parlement Européen, elle devra encore passer devant le Conseil avant de pouvoir être mise en œuvre. Un document du G29 (le groupement des CNIL européennes), adopté le 25 mars dernier, était d'ailleurs l'occasion de diffuser des études de cas sur les comportements à adopter en cas de fuite de données, et des obligations qui allaient être mises en place.

La CNIL dispose d'un pouvoir de contrôle : va-t-elle l'utiliser ?

Mais bien qu'il n'existe aucune obligation légale, cela ne veut pas dire que la CNIL est totalement impuissante. Il lui reste en effet son pouvoir de contrôle. Et la Commission nous rappelle que dans l'article 34 de la loi 78-17 du 6 janvier 1978 modifiée, il est stipulé que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » Actuellement, des contrôles peuvent être déclenchés dans trois cas : 

  • Selon le programme défini par la CNIL
  • En cas de plainte jugée valide
  • Sur décision de la CNIL elle-même

Il ne reste donc maintenant plus qu'à voir si les services de la CNIL jugeront bon d'aller demander des comptes à tous les services qui auront été identifiés comme touchés par la faille Heartbleed. Pour le moment, impossible de savoir si c'est le cas puisque les procédures en cours ne peuvent être évoquées par nos contacts. Nul doute que l'intervention de sa présidente, à l'occasion de la conférence TEDx à Issy-les-Moulineaux, le 29 avril prochain, sera analysée en conséquence. En effet, celle-ci tombe plutôt à pic puisque le sujet annoncé est « Comment assurer une sureté pour nos informations tout en nous laissant une liberté de choix ? »

 

En attendant, aucune communication complète n'a été publiée sur le sujet par la Commission, qui s'est contenté de mettre en avant ses guides relatifs à la gestion des mots de passe ou la sécurité des données personnelles.

12 commentaires
Avatar de Futureman INpactien
Avatar de FuturemanFutureman- 14/04/14 à 14:24:36

crédit mutuel une banque a qui parler qui cause de trop...

Édité par nick_t le 14/04/2014 à 14:24
Avatar de vortex33 INpactien
Avatar de vortex33vortex33- 14/04/14 à 14:38:11

À ce jour, aucun indice ne nous laisse penser que des données ont été impactées

Bravo Darty, de mieux en mieux...
Vous voulez un indice monsieur "contrat de confiance" ? C'est cadeau, ne me remerciez pas : http://imgur.com/FgjuJBf

Quand je vous disais qu'ils nous prennent pour des jambons... :cartonrouge:

Avatar de Reznor26 INpactien
Avatar de Reznor26Reznor26- 14/04/14 à 14:59:47

Nul doute que l'intervention de sa présidente, à l'occasion de la conférence TEDx à Issy-les-Moulineaux, le 29 avril prochain, sera analysée en conséquence. En effet, celle-ci tombe plutôt à pic puisque le sujet annoncé est « Comment assurer une sureté pour nos informations tout en nous laissant une liberté de choix ? »

...ou comment se faire troller par le hasard :mdr:

M*rde, faut tout réécrire :transpi:

Avatar de tAran INpactien
Avatar de tArantAran- 14/04/14 à 15:02:46

Nous avons eu l'occasion d'échanger avec la CNIL sur le sujet, afin de savoir quelle était sa position et surtout ses possibilités d'action dans de pareils cas. Et il faut tout d'abord savoir qu'il n'existe pour le moment aucune obligation légale pour un site d'informer ses utilisateurs en cas de pareille fuite. C'est uniquement le cas depuis quelques mois suite à la transposition d'un dispositif issu du Paquet Télécom en loi française, c'est le fameux article 34 bis de la loi 78-17 du 6 janvier 1978 modifiée qui ne s'impose qu'aux FAI et opérateurs de téléphonie mobile. Nous l'avons déjà évoqué plusieurs fois, et c'est notamment lui qui avait été mis en œuvre dans le cas de la fuite de données d'Orange, qui avait indiqué à ses clients ce qui s'était passé et la procédure à suivre.

Mais c'est tout. Il y a bien une modification du règlement relatif aux données personnelles qui est en cours, mais elle n'est pas encore applicable.

T'es sûr de ça, cela me semble bien restrictif qu'elle ne s'applique qu'aux FAI et opérateurs telecom

Zataz avait d'ailleurs fait appel à un avocat sur le sujet et pour lui, je cite : "L'obligation de notification concerne les données traitées dans le cadre de la « fourniture de services de communications électroniques ouverts au public », ce incluant également les fournisseurs « prenant en charge les dispositifs de collecte de donnée et d'identification »."

Et qui dit collecte de donnée et d'identification dit tout site web contenant des données personnelles, et non uniquement les FAI et opérateurs télécom

Avatar de Jurideek INpactien
Avatar de JurideekJurideek- 14/04/14 à 15:33:54

En attendant, aucune communication complète n'a été publiée sur le sujet par la Commission, qui s'est contenté de mettre en avant ses guides relatifs à la gestion des mots de passe ou la sécurité des données personnelles.

Vraiment surpris qu'ils n'aient pas tiré la sonnette d'alarme générale auprès des médias... En tant qu'acteur institutionnel et public, la CNIL avait largement les moyens de communiquer pour informer les utilisateurs, ce qui aurait été relayé plus rapidement par la presse grand public que des inquiétudes complexes à comprendre sur des sites de geeks (pour prendre le point de vue des médias "traditionnels").

La CNIL a encore du chemin à faire pour avoir la légitimité de se poser en justicier irréprochable, comme elle a un peu trop tendance à le faire sans en avoir les moyens. Pour faire plus imagé, se balader avec un T-shirt "I fight for the users", c'est bien, mais quand les missiles commencent à partir, c'est mieux d'être vraiment sur le front.

Avatar de bounty27 INpactien
Avatar de bounty27bounty27- 14/04/14 à 17:39:50

Vous voulez un indice monsieur "contrat de confiance" ? C'est cadeau, ne me remerciez pas :http://imgur.com/FgjuJBf

Ca c'est du camouflage de champion! :yes:

Indice...

Avatar de ColinMaudry Abonné
Avatar de ColinMaudryColinMaudry- 14/04/14 à 19:39:33

bounty27 a écrit :

Ca c'est du camouflage de champion! :yes:

Indice...

:mdr:

C'est de l'hexadécimal donc IMPOSSIBLE à déchiffrer :fumer:...

http://string-functions.com/hex-string.aspx :eeek2:

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 15/04/14 à 06:26:48

Est-ce qu'on peut enfin changer ses mots de passe ?
Ou y a-t-il encore des sites non patchés ?

Avatar de vortex33 INpactien
Avatar de vortex33vortex33- 15/04/14 à 06:46:23

C'est de l'hexadécimal donc IMPOSSIBLE à déchiffrer

Depuis quand l'hexadécimal est-il une méthode de chiffrement ? Aux dernières nouvelles il s'agit d'un encodage... :non:

Avatar de yannickta Abonné
Avatar de yannicktayannickta- 15/04/14 à 06:55:31

Dites, a chaque article sur ce sujet, vous nous remettez l'image sur le crédit-mutuel. Sachant que les autres banques ne doivent pas être mieux sur ce point, vous avez un problème avec eux ? Ou juste pas de moyens pour l'illustration des articles ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 2