Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

La CNIL publie ses recommandations concernant Heartbleed

La menace des contrôles

Si nous avons récemment pu interroger la CNIL concernant la faille Heartbleed, celle-ci n'avait pas encore réagi officiellement sur le sujet. C'est désormais le cas, et la Commission indique qu'elle pourra mener des contrôles chez ceux qui ne se seront pas mis en conformité.

Vie privée Sécurité

 

« Lundi 7 avril une faille de sécurité a été découverte dans certaines versions du logiciel OpenSSL, sur lequel s’appuie une grande partie de la sécurité du Web. L’article 34 de la loi Informatique et Libertés impose une obligation de sécurisation des données à caractère personnel. La CNIL fait le point sur les conséquences de cette faille et les actions à mettre en œuvre. » C'est par ces quelques lignes que la Commission a introduit son guide des règles à suivre suite à la faille Heartbleed qui secoue internet depuis quelques jours. 

 

Outre le rappel habituel des faits et des risques, la CNIL donne tout un tas de recommandations, tant aux éditeurs de sites qu'aux utilisateurs. On apprend ainsi que ceux qui ont été touchés doivent se mettre à jour, révoquer les précédents certificats, en utiliser de nouveaux et informer leurs utilisateurs. Concernant les clefs privées, il a en effet été démontré depuis la découverte d'Heartbleed qu'il était possible de les récupérer dans certains cas, et avec assez de patience. Dans le doute, la révocation et le remplacement par ceux qui ont été touchés semble donc une juste mesure de précaution, qui va sans doute faire le bonheur des sociétés qui proposent d'acheter des certificats.

 

Pour ce qui est de la phase d'information, elle est par contre malheureusement encore trop souvent mise de côté, surtout en France. Les services touchés peinent ainsi à le reconnaître, tant qu'ils n'ont pas été publiquement mis en cause, preuve à l'appui. Pour rappel, en l'état actuel des choses, les sites n'ont aucune obligation légale (voir notre analyse) d'informer leurs utilisateurs sur les données qu'ils auraient pu exposer dans le cadre d'une telle faille. Ils doivent seulement s'assurer de leur bonne sécurité et tout mettre en œuvre pour qu'elle soit corrigée. Alors que l'on découvre seulement les premiers cas importants et leurs conséquences, ceux qui n'auront pas joué le jeu de la transparence auront sans doute beaucoup à perdre lorsqu'il sera temps de faire les comptes.

 

Comme nous l'avions évoqué, la Commission se réserve de son côté le droit d'aller procéder à des contrôles chez les plus récalcitrants, ou même ceux qui ont été touchés. Reste à voir ce qui sera fait exactement dans la pratique. Dans le guide publié, on peut pour le moment simplement lire que « La CNIL vérifiera les mises à jour et correctifs de sécurité dans le cadre des contrôles qu’elle opère régulièrement auprès des responsables de traitement. Elle sera en mesure de procéder à  une série de contrôles visant spécifiquement les sites les plus exposés qui ne se seraient pas mis en conformité. »

10 commentaires
Avatar de tAran INpactien
Avatar de tArantAran- 17/04/14 à 13:53:10

Pour rappel, en l'état actuel des choses, les sites n'ont aucune obligation légale (voir notre analyse) d'informer leurs utilisateurs sur les données qu'ils auraient pu exposer dans le cadre d'une telle faille

Justement, j'avais posé une question dans la news précédente sur le sujet et je n'avais pas eu de réponse :D

Avatar de papinse INpactien
Avatar de papinsepapinse- 17/04/14 à 13:55:30

Dans le doute, la révocation et le remplacement par ceux qui ont été touchés semble donc une juste mesure de précaution, qui va sans doute faire le bonheur des sociétés qui proposent d'acheter des certificats.
D'un autre côté, il me semblerait justifié de pouvoir demander un certificat avec juste la durée de validité restante de l'ancien... :ouioui:

Avatar de David_L Équipe
Avatar de David_LDavid_L- 17/04/14 à 14:21:07

tAran a écrit :

Justement, j'avais posé une question dans la news précédente sur le sujet et je n'avais pas eu de réponse :D

Je pensais avoir répondu pourtant. La CNIL nous a confirmé à de multiples reprises que ça ne concernait que les opérateurs / FAI, pour cela d'ailleurs que ça avait été introduit dans le paquet télécom et que l'extension se fait une modification du règlement relatif à la vie privée.

Son site précise d'ailleurs que :

L'obligation de notifier à la CNIL les violations de données à caractère personnel concerne uniquement les fournisseurs de services de communications électroniques au public, tels que définis par l'article L. 33-1 du code des postes et des communications électroniques

http://www.cnil.fr/vos-obligations/notification-de-violations/

Édité par david_l le 17/04/2014 à 14:22
Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 17/04/14 à 14:28:34

la CNIL donne tout un tas de recommandations, tant aux éditeurs de sites qu'aux utilisateurs.

Je viens de lire le guide donné en lien et je trouve pas la partie en gras...

Avatar de Queno INpactien
Avatar de QuenoQueno- 17/04/14 à 14:35:18

J'adore les stocks photos qui accompagnent les articles sur le net parlant de sécurité.

Le gars avec son passe-montagne en train d'utiliser un ordinateur arrive systématiquement à me décrocher un petit sourire.

Avatar de Khalev Abonné
Avatar de KhalevKhalev- 17/04/14 à 14:50:04

Queno a écrit :

J'adore les stocks photos qui accompagnent les articles sur le net parlant de sécurité.

Le gars avec son passe-montagne en train d'utiliser un ordinateur arrive systématiquement à me décrocher un petit sourire.

C'est parce que vu qu'il fait tourner des calculs très compliqués (afficher le défilement de chaque caractère du mot de passe par exemple) son ordi chauffe à mort, du coup il lance la clim à fond pour compenser mais comme son ordi ne souffle pas vers lui bin il se les caille.

Avatar de tAran INpactien
Avatar de tArantAran- 17/04/14 à 15:06:50

David_L a écrit :

Je pensais avoir répondu pourtant. La CNIL nous a confirmé à de multiples reprises que ça ne concernait que les opérateurs / FAI, pour cela d'ailleurs que ça avait été introduit dans le paquet télécom et que l'extension se fait une modification du règlement relatif à la vie privée.

Son site précise d'ailleurs que :
http://www.cnil.fr/vos-obligations/notification-de-violations/

Merci :chinois:

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 17/04/14 à 17:20:25

Khalev a écrit :

C'est parce que vu qu'il fait tourner des calculs très compliqués (afficher le défilement de chaque caractère du mot de passe par exemple) son ordi chauffe à mort, du coup il lance la clim à fond pour compenser mais comme son ordi ne souffle pas vers lui bin il se les caille.

ça se tiens. Je valide :ouioui:

Avatar de 2show7 INpactien
Avatar de 2show72show7- 17/04/14 à 18:29:49

Woué ! Open Data avant la lettre :mad:

Avatar de sr17 INpactien
Avatar de sr17sr17- 17/04/14 à 19:30:31

En même temps, n'en fait t'on pas un peu trop concernant cette faille Heartbleed sur le plan médiatique ?

Comme je vous ai vu hier qualifier Heartbleed de faille de la décennie, je ne peux que réagir.

C'est peut être vrai sur le plan de la médiatisation. Dans la réalité des faits et des attaques réellement constatées, c'est beaucoup moins sûr.

Certes, la médiatisation a certainement contribué à diminuer les conséquences. Certes, c'est une faille très dangereuse auquel tout admin sérieux aura remédié dans les plus brefs délais(Il est aussi conseillé à tous de changer les mots de passe sur les serveurs concernés).

Mais en matière de sécurité informatique, on trouve encore assez souvent des failles permettant l'exécution à distance qui sont bien plus dangereuses encore puisqu’elles peuvent permettre de se servir directement et massivement à la source des données.

Rappellons qu'Heartbleed ne fournit que des données parcellaires qui demanderaient un fastidieux travail d'extraction... et beaucoup de chance pour tomber sur le mdp de l'admin.

Il faudrait également que je retrouve cette étude qui montrait que la possibilité théorique d'obtenir les clés privées des certificats d'un site n'était pas si évidente en pratique (ils n'y sont tout simplement pas parvenus...).

Même s'il faut reconnaître que le fait d'en parler et de sensibiliser le public et les administrateurs contribuera grandement à diminuer les retombées de cette faille, il ne faudrait pas oublier le danger posé par toutes les autres failles qui sont découvertes régulièrement dans les OS, les logiciels et les appareils.

Il faut faire comprendre aux gens que le vrai danger est permanent. Il viens principalement de tout ce qui n'est pas patché régulièrement par des correctifs de sécurité.

Édité par david_l le 18/04/2014 à 14:54
Il n'est plus possible de commenter cette actualité.