Si nous avons récemment pu interroger la CNIL concernant la faille Heartbleed, celle-ci n'avait pas encore réagi officiellement sur le sujet. C'est désormais le cas, et la Commission indique qu'elle pourra mener des contrôles chez ceux qui ne se seront pas mis en conformité.
« Lundi 7 avril une faille de sécurité a été découverte dans certaines versions du logiciel OpenSSL, sur lequel s’appuie une grande partie de la sécurité du Web. L’article 34 de la loi Informatique et Libertés impose une obligation de sécurisation des données à caractère personnel. La CNIL fait le point sur les conséquences de cette faille et les actions à mettre en œuvre. » C'est par ces quelques lignes que la Commission a introduit son guide des règles à suivre suite à la faille Heartbleed qui secoue internet depuis quelques jours.
Outre le rappel habituel des faits et des risques, la CNIL donne tout un tas de recommandations, tant aux éditeurs de sites qu'aux utilisateurs. On apprend ainsi que ceux qui ont été touchés doivent se mettre à jour, révoquer les précédents certificats, en utiliser de nouveaux et informer leurs utilisateurs. Concernant les clefs privées, il a en effet été démontré depuis la découverte d'Heartbleed qu'il était possible de les récupérer dans certains cas, et avec assez de patience. Dans le doute, la révocation et le remplacement par ceux qui ont été touchés semble donc une juste mesure de précaution, qui va sans doute faire le bonheur des sociétés qui proposent d'acheter des certificats.
Pour ce qui est de la phase d'information, elle est par contre malheureusement encore trop souvent mise de côté, surtout en France. Les services touchés peinent ainsi à le reconnaître, tant qu'ils n'ont pas été publiquement mis en cause, preuve à l'appui. Pour rappel, en l'état actuel des choses, les sites n'ont aucune obligation légale (voir notre analyse) d'informer leurs utilisateurs sur les données qu'ils auraient pu exposer dans le cadre d'une telle faille. Ils doivent seulement s'assurer de leur bonne sécurité et tout mettre en œuvre pour qu'elle soit corrigée. Alors que l'on découvre seulement les premiers cas importants et leurs conséquences, ceux qui n'auront pas joué le jeu de la transparence auront sans doute beaucoup à perdre lorsqu'il sera temps de faire les comptes.
Comme nous l'avions évoqué, la Commission se réserve de son côté le droit d'aller procéder à des contrôles chez les plus récalcitrants, ou même ceux qui ont été touchés. Reste à voir ce qui sera fait exactement dans la pratique. Dans le guide publié, on peut pour le moment simplement lire que « La CNIL vérifiera les mises à jour et correctifs de sécurité dans le cadre des contrôles qu’elle opère régulièrement auprès des responsables de traitement. Elle sera en mesure de procéder à une série de contrôles visant spécifiquement les sites les plus exposés qui ne se seraient pas mis en conformité. »
