La révélation des failles de sécurité, risques et enjeux
Transcription
La révélation des failles de sécurité, risques et enjeux
La révélation des failles de sécurité, risques et enjeux La protection des données personnelles sur la toile passe peu à peu le pas de la législation. Si les réponses apportées à ce problème divergent, la prise de conscience est de plus en plus forte. Le mot d’ordre est la responsabilisation de tous : utilisateurs, entreprises, opérateurs télécom… La loi Informatique et libertés invitait déjà depuis 2004 à prendre les précautions pour éviter les failles de sécurité, mais les textes en cours vont plus loin et obligeront bientôt à signaler ces failles. Les organisations (entreprises, associations ou institutions), qui brassent de nombreuses données informatiques sensibles, prennent ces risques très au sérieux. Elles sont nombreuses depuis 2005 à avoir choisi de désigner un correspondant informatique et liberté et/ou un responsable de la sécurité des systèmes d’information (RSSI). Modérateur : Martine RICOUART-MAILLET Avocat associé, BRM Avocats – Lille (France) Deux textes de loi en cours obligent à révéler les failles de sécurité à la CNIL ou au correspondant informatique et liberté d’une entreprise : - Une Directive européenne (prévue pour mai 2011) ne concernant que les opérateurs télécom - la proposition de loi du 23 mars 2010 concernant toutes les entreprises françaises. Obligation de sécurité informatique des données personnelles Bruno RASLE Délégué général de l’Association française des correspondants aux données personnelles (AFCDP) – Paris (France) Depuis sa modification en 2004, la loi Informatique et libertés invite les responsables du traitement à prendre toutes les précautions utiles pour protéger les données personnelles. En cas de manquement à cette obligation de moyens, le risque pénal encouru est de 5 ans de prison et 300 000 € d’amende. Déjà passée en première lecture, la proposition de loi du 23 mars dernier sur l’obligation de notification des failles de sécurité pourrait encore être renforcée quant aux violations de traitement de données personnelles qui vont au-delà de la faille informatique (ex : des listes laissées dans des poubelles sur le trottoir). L’AFCDP anticipe l’obligation de notification car la législation ne détaillera les conditions d’une « violation de données à caractère personnel » que dans le décret d’application. L’impact de la notification d’une faille (à la CNIL mais aussi aux personnes concernées) peut être préjudiciable en matière d’image et de communication. Dans la plupart des Etats américains, la loi oblige à expliquer au client les détails d’un incident sur ses données personnelles. Dans d’autres au contraire, c’est interdit pour ne pas livrer de détails aux pirates. Malgré ce « patchwork » législatif américain, ces lois ont l’impact positif de faire prendre la sécurité informatique au sérieux. Autre impact : alors qu’en France, c’est la loi qui interdit la conservation de données, les Américains les purgent d’eux-mêmes pour réduire leur exposition aux risques. Air Force lutte en équipe contre les failles de sécurité Willet ADOFO Computer crime investigator US, AFOSI – Vogelweh (Allemagne) Air Force base sa défense contre les failles de sécurité sur les compétences des bureaux d’investigation en cybercriminalité et sur l’équipe de réponse aux urgences informatiques, l’AFCERT 11. L’AFCERT détermine s’il y a une menace réelle et quelle est sa catégorie : est-ce du ressort d’une simple application de la loi ou du contre-espionnage ? L’enquête porte alors sur la nature de l’attaque, la sensibilité des données, et la préservation des preuves. L’AFCERT interroge directement les personnes impliquées, analyse le matériel, et s’entoure d’avocats pour s’adapter aux législations des différents Etats. Elle bénéficie de 90 jours pour approfondir les recherches sans que les preuves ne soient détruites. L’enquête dévoile les techniques utilisées par l’adversaire, les détails de l’intrusion, et permet d’identifier la personne responsable, la ou les machine(s) infectée(s), mais aussi les faiblesses du réseau d’Air Force. Le protocole d’alerte Zataz Damien BANCAL Journaliste spécialisé dans la sécurité informatique, ZATAZ – Paris (France) Le site Zataz.com est un protocole d’alerte. Par l’intermédiaire de nos lecteurs ou de nos propres outils, les « honey zataz12 », nous recevons des alertes sur les fuites de données (lorsqu’un webmaster oublie de verrouiller une partie d’un site par exemple). Notre mission est alors de faire pression sur les entreprises qui laissent des données personnelles accessibles sur le Net. Les honey pots sont mis en place pour attirer les attaques et recueillir des informations sur le site piraté et l’entreprise par laquelle passe l’attaque, le pays concerné, le nombre et la durée de l’attaque. Ils parviennent même à détecter la préparation d’attaque de masse. Zataz a détecté la présence de 400 000 données bancaires sur le Net : nous avons prévenu l’entreprise pour qu’elle corrige la faille, puis en tant que journaliste, j’ai informé les 400 000 personnes concernées par la presse, après correction de la faille. J’ai été attaqué au Tribunal civil pour diffamation (procès perdu) et au pénal pour piratage informatique (procès gagné). A l’heure actuelle, l’entreprise n’a toujours pas prévenu ses clients. Depuis le 1 er janvier 2010, Zataz a identifié 1 863 entreprises françaises qui ont laissé des informations nominatives sur Internet en source ouverte : 900 nous ont répondu, 300 ont corrigé la faille. 11 12 Air Force Computer Emergency Response Team En référence aux honey pots Les phases du protocole d’alerte Le hacking éthique Franck EBEL Enseignant, responsable de la licence Collaborateur pour la défense et l’anti intrusion des systèmes informatiques (CDAISI), IUT Informatique – Maubeuge (France) Raphaël RAULT Avocat, BRM Avocats – Lille (France) Pour illustrer notre intervention, nous partirons d’un scénario fictif. Un pays de l’Est propose un forum international auquel une société décide d’envoyer l’un de ses cadres, Monsieur Delarevue. Depuis l’hôtel, il consulte ses e-mails via une connexion free Wifi, qui est en réalité une borne pirate. Le pirate se place entre son ordinateur et le Wifi et capte ses informations. - infraction pénale d’accès de maintien frauduleux dans un système d’information pour le pirate : 2 ans de prison et 30 000 € d’amende - manquement à l’obligation à sécuriser et surveiller son accès Internet pour l’abonné à un fournisseur Internet : 1 500 € d’amende et la coupure de l’accès Internet pendant 1 an. Lors d’un atelier du forum, l’intervenant propose de prêter sa clé usb pour récupérer les diaporamas : C’est une clé U3 qui exécute un programme aspirant des documents. Opération passible de 2 à 5 ans de prison et de 30 000 € à 75 000 € d’amende d’après la loi Godfrain si le caractère frauduleux et intentionnel est prouvé. Monsieur Delarevue laisse son ordinateur au coffre de sa chambre pendant que le personnel la nettoie. Le « faux » personnel de l’hôtel doit récupérer un maximum d’informations sur les participants au forum. Il extrait le portable du coffre, introduit une clé usb déclenchant un programme avant le redémarrage du système et contourne ainsi le mot de passe. Au redémarrage suivant, le mot de passe sera à nouveau demandé : l’infraction est donc invisible. Ce logiciel est disponible sur le Net. Infraction relative à loi Godfrain. > Les personnes morales craignent des attaques internes et externes. Pour se prémunir de ces attaques, l’entreprise doit mener une politique de sécurité interne qui se concrétise par une charte informatique. Bruno RASLE Le correspondant informatique et liberté a été instauré il y a 5 ans13 et est un protecteur et conseiller au sein de l’entreprise, qui épaule le Responsable de la sécurité et des systèmes d’information (RSSI), en charge de la sécurité des données personnelles. Echanges avec la salle De la salle Une entreprise peut avoir accès à des données personnelles à travers une faille informatique, sans savoir qu’il s’agit d’une faille. Est-elle alors hors la loi ? Réponse commune des intervenants La faille de l’entreprise livrant 400 000 données bancaires a été révélée par un adolescent de 15 ans qui les a trouvées simplement en tapant le mot « contrat » sur Google. Pour s’en prémunir, il faut quitter le site sans consulter ou modifier les données. Sans caractère intentionnel ou frauduleux de votre part, c’est l’éditeur, le moteur de recherche ou l’entreprise qui n’a pas protégé ses données qui sera mis en cause. De la salle Au même titre que l’invention de la route, le monde de l’Internet requiert une signalisation et des règles à respecter. Internet est une « poule aux œufs d’or » : on ne tue pas une poule aux œufs d’or, on essaie d’informer les gens, de les cadrer, et de rendre Internet plus sûr pour tous. 13 Décret d’application juin 2005