Si nous avons récemment pu interroger la CNIL concernant la faille Heartbleed, celle-ci n'avait pas encore réagi officiellement sur le sujet. C'est désormais le cas, et la Commission indique qu'elle pourra mener des contrôles chez ceux qui ne se seront pas mis en conformité.
« Lundi 7 avril une faille de sécurité a été découverte dans certaines versions du logiciel OpenSSL, sur lequel s’appuie une grande partie de la sécurité du Web. L’article 34 de la loi Informatique et Libertés impose une obligation de sécurisation des données à caractère personnel. La CNIL fait le point sur les conséquences de cette faille et les actions à mettre en œuvre. » C'est par ces quelques lignes que la Commission a introduit son guide des règles à suivre suite à la faille Heartbleed qui secoue internet depuis quelques jours.
Outre le rappel habituel des faits et des risques, la CNIL donne tout un tas de recommandations, tant aux éditeurs de sites qu'aux utilisateurs. On apprend ainsi que ceux qui ont été touchés doivent se mettre à jour, révoquer les précédents certificats, en utiliser de nouveaux et informer leurs utilisateurs. Concernant les clefs privées, il a en effet été démontré depuis la découverte d'Heartbleed qu'il était possible de les récupérer dans certains cas, et avec assez de patience. Dans le doute, la révocation et le remplacement par ceux qui ont été touchés semble donc une juste mesure de précaution, qui va sans doute faire le bonheur des sociétés qui proposent d'acheter des certificats.
Pour ce qui est de la phase d'information, elle est par contre malheureusement encore trop souvent mise de côté, surtout en France. Les services touchés peinent ainsi à le reconnaître, tant qu'ils n'ont pas été publiquement mis en cause, preuve à l'appui. Pour rappel, en l'état actuel des choses, les sites n'ont aucune obligation légale (voir notre analyse) d'informer leurs utilisateurs sur les données qu'ils auraient pu exposer dans le cadre d'une telle faille. Ils doivent seulement s'assurer de leur bonne sécurité et tout mettre en œuvre pour qu'elle soit corrigée. Alors que l'on découvre seulement les premiers cas importants et leurs conséquences, ceux qui n'auront pas joué le jeu de la transparence auront sans doute beaucoup à perdre lorsqu'il sera temps de faire les comptes.
Comme nous l'avions évoqué, la Commission se réserve de son côté le droit d'aller procéder à des contrôles chez les plus récalcitrants, ou même ceux qui ont été touchés. Reste à voir ce qui sera fait exactement dans la pratique. Dans le guide publié, on peut pour le moment simplement lire que « La CNIL vérifiera les mises à jour et correctifs de sécurité dans le cadre des contrôles qu’elle opère régulièrement auprès des responsables de traitement. Elle sera en mesure de procéder à une série de contrôles visant spécifiquement les sites les plus exposés qui ne se seraient pas mis en conformité. »
Commentaires (10)
#1
Pour rappel, en l’état actuel des choses, les sites n’ont aucune obligation légale (voir notre analyse) d’informer leurs utilisateurs sur les données qu’ils auraient pu exposer dans le cadre d’une telle faille
Justement, j’avais posé une question dans la news précédente sur le sujet et je n’avais pas eu de réponse
#2
Dans le doute, la révocation et le remplacement par ceux qui ont été touchés semble donc une juste mesure de précaution, qui va sans doute faire le bonheur des sociétés qui proposent d’acheter des certificats.
D’un autre côté, il me semblerait justifié de pouvoir demander un certificat avec juste la durée de validité restante de l’ancien…
#3
#4
la CNIL donne tout un tas de recommandations, tant aux éditeurs de sites qu’aux utilisateurs.
Je viens de lire le guide donné en lien et je trouve pas la partie en gras…
#5
J’adore les stocks photos qui accompagnent les articles sur le net parlant de sécurité.
Le gars avec son passe-montagne en train d’utiliser un ordinateur arrive systématiquement à me décrocher un petit sourire.
#6
#7
#8
#9
Woué ! Open Data avant la lettre
" />
#10
En même temps, n’en fait t’on pas un peu trop concernant cette faille Heartbleed sur le plan médiatique ?
Comme je vous ai vu hier qualifier Heartbleed de faille de la décennie, je ne peux que réagir.
C’est peut être vrai sur le plan de la médiatisation. Dans la réalité des faits et des attaques réellement constatées, c’est beaucoup moins sûr.
Certes, la médiatisation a certainement contribué à diminuer les conséquences. Certes, c’est une faille très dangereuse auquel tout admin sérieux aura remédié dans les plus brefs délais(Il est aussi conseillé à tous de changer les mots de passe sur les serveurs concernés).
Mais en matière de sécurité informatique, on trouve encore assez souvent des failles permettant l’exécution à distance qui sont bien plus dangereuses encore puisqu’elles peuvent permettre de se servir directement et massivement à la source des données.
Rappellons qu’Heartbleed ne fournit que des données parcellaires qui demanderaient un fastidieux travail d’extraction… et beaucoup de chance pour tomber sur le mdp de l’admin.
Il faudrait également que je retrouve cette étude qui montrait que la possibilité théorique d’obtenir les clés privées des certificats d’un site n’était pas si évidente en pratique (ils n’y sont tout simplement pas parvenus…).
Même s’il faut reconnaître que le fait d’en parler et de sensibiliser le public et les administrateurs contribuera grandement à diminuer les retombées de cette faille, il ne faudrait pas oublier le danger posé par toutes les autres failles qui sont découvertes régulièrement dans les OS, les logiciels et les appareils.
Il faut faire comprendre aux gens que le vrai danger est permanent. Il viens principalement de tout ce qui n’est pas patché régulièrement par des correctifs de sécurité.