Double intrusion chez Orange : le gouvernement répond à un sénateur

Je vais bien, tout va bien... 28
En bref
image dediée
Téléphonie
Sébastien Gavois

Suite au piratage d'Orange du mois de février, le sénateur Roland Povinelli avait interrogé le gouvernement afin d'avoir sa position sur « ces phénomènes nouveaux qui inquiètent les Français ». Le secrétariat d'État chargé du numérique vient d'apporter des éléments de réponse.

Le 16 janvier, Orange se faisait pirater une partie des données de ses clients. Suite à « une intrusion informatique », la société nous indiquait en effet que des données personnelles comme les noms, prénoms, adresses et e-mails de près de 3 % de ses clients avaient été dérobés. Une plainte avait évidemment été déposée. Un sénateur s'était penché sur la question et demandait au gouvernement de préciser sa position concernant « ces phénomènes nouveaux qui inquiètent les Français ». En mai dernier, suite à une seconde intrusion, des données personnelles étaient à nouveau récupérées.

Phishing et spams : les recommandations du gouvernement

Plus de cinq mois après, le secrétariat d'État chargé du numérique apporte sa réponse... en demi-teinte. Il commence en effet par préciser que « les pouvoirs publics mènent depuis plusieurs années une politique active de lutte contre les envois de courriels indésirables, autrement dénommés « spams » » et rappelle que « le site www.surfez-intelligent.gouv.fr informe des règles de bonne conduite à suivre lors de l'utilisation de l'internet ».

Le secrétariat d'Etat ajoute ensuite que, « sous l'impulsion du gouvernement et en concertation avec les professionnels, une plate-forme nationale, Signal Spam, a été lancée en mai 2007. Ce dispositif permet le signalement des courriels indésirables en vue du traitement des plaintes dans le cadre d'une étroite coopération entre les administrations concernées et les opérateurs économiques. En outre, l'action de l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) inclut notamment la lutte contre ces pratiques. Les particuliers peuvent signaler directement des agissements illicites via le site www.internet-signalement.gouv. fr. Concernant spécifiquement le phishing, le site www.phishing-initiative.com a mis en place une plateforme de signalement des sites frauduleux afin de lutter efficacement contre ceux-ci ».

Spam
Crédits : flytosky11/iStock/Thinkstock

Intrusions : Orange a informé la CNIL « conformément aux dispositions de l'article 38 »

Après ces quelques généralités, on revient au cœur du sujet : le cas du piratage d'Orange. « Au cas particulier, la CNIL a réuni, le 3 février 2014, les opérateurs de communications électroniques pour leur rappeler leurs obligations en matière de violations de données personnelles. Comme prévu par les dispositions en vigueur, la violation de données personnelles intervenue chez Orange le 16 janvier 2014 a bien fait l'objet d'une notification à la CNIL dès le lendemain et Orange a également procédé à l'information des personnes concernées. Ce dossier est en cours d'instruction par les services de la CNIL. Par ailleurs, suite au dépôt de plainte d'Orange, l'enquête sur ce piratage a été confiée à la direction centrale du renseignement intérieur (DCRI) ». Ce dernier point nous avait d'ailleurs été confirmé par Laurent Benatar, directeur technique d'Orange. Rien n'est par contre précisé concernant l'avancement du traitement de la plainte et si les coupables avaient été ou non identifiés.

Le secrétariat d'Etat évoque ensuite le second piratage : « Un deuxième piratage concernant 1,3 million de clients d'Orange a été annoncé le 6 mai 2014. Les personnes concernées ont été informées par courriel de cette intrusion et des conseillers de l'opérateur ont été spécialement formés pour répondre à leurs questions. De même que la première, cette deuxième intrusion a été notifiée à la CNIL conformément aux dispositions de l'article 38 de l'ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques. Cet article, qui ajoute un article 34 bis à la loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, impose aux fournisseurs de services de communications électroniques d'avertir sans délais la CNIL en cas de violation de données à caractère personnel et d'informer les personnes concernées ».

Mail orange intrusion

Le gouvernement attentif, quid des sociétés piratées qui ne sont pas FAI ou opérateur ?

Le gouvernement indique donc que lors de ses deux piratages, Orange s'est conformée à ses obligations en informant la CNIL dans les temps, puis en contactant ses clients. Il termine en indiquant que « de son côté, la CNIL entend insister de nouveau auprès des opérateurs et des acteurs économiques sur la nécessité d'être proactifs en termes de sécurité des données personnelles [...] ».

Comme nous avions eu l'occasion de l'évoquer lors de la faille Heartbleed,  l'article 34 bis de la loi 78-17 du 6 janvier 1978 modifiée ne s'impose qu'aux FAI ainsi qu'aux opérateurs de téléphonie mobile, les autres sociétés n'étant pas soumises à cette obligation d'information. Si le G29 se penche sur la question au niveau européen, rien n'a encore été décidé pour le moment. On regrettera d'ailleurs que les services de l'État, bien qu'ils « demeurent très attentifs au maintien de cette mobilisation et veillent à ce que les mesures nécessaires soient prises pour garantir une protection économique efficace des utilisateurs de l'internet », n'aient d'ailleurs pas décidé d'élargir cette obligation de notification, ce qui aurait été bien utile dans le cas d'une faille aussi généralisée que l'a été Heartbleed, de nombreux services n'ayant jamais communiqué sur le sujet auprès de leurs clients, malgré la fuite potentielle de données très sensibles. 

Concernant la formulation de la question de M. Roland Povinelli, on s'étonne tout de même qu'il parle de « phénomènes nouveaux » étant donné que les intrusions et autres cyberattaques ne le sont pas vraiment, même si leur fréquence et l'impact qu'elles ont s'amplifie. On note d'ailleurs qu'en France, c'est notamment avec l'obligation de communication auprès des clients faite par les FAI que ces problèmes gagnent en visibilité et en retentissement médiatique. Si elle devait être généralisée, le phénomène devrait d'ailleurs s'amplifier, et ce ne serait sans doute pas un mal, forçant au passage les services à mieux sécuriser leurs données afin d'éviter de faire les gros titres.


chargement
Chargement des commentaires...