La révélation des failles de sécurité, risques et enjeux

La révélation des failles de sécurité, risques et
enjeux
La protection des données personnelles sur la toile passe peu à peu le pas de la législation. Si
les réponses apportées à ce problème divergent, la prise de conscience est de plus en plus
forte. Le mot d’ordre est la responsabilisation de tous : utilisateurs, entreprises, opérateurs
télécom… La loi Informatique et libertés invitait déjà depuis 2004 à prendre les précautions
pour éviter les failles de sécurité, mais les textes en cours vont plus loin et obligeront bientôt à
signaler ces failles. Les organisations (entreprises, associations ou institutions), qui brassent
de nombreuses données informatiques sensibles, prennent ces risques très au sérieux. Elles
sont nombreuses depuis 2005 à avoir choisi de désigner un correspondant informatique et
liberté et/ou un responsable de la sécurité des systèmes d’information (RSSI).
Modérateur : Martine RICOUART-MAILLET
Avocat associé, BRM Avocats – Lille (France)
Deux textes de loi en cours obligent à révéler les failles de sécurité à la CNIL ou au
correspondant informatique et liberté d’une entreprise :
- Une Directive européenne (prévue pour mai 2011) ne concernant que les opérateurs télécom
- la proposition de loi du 23 mars 2010 concernant toutes les entreprises françaises.
Obligation de sécurité informatique des données personnelles
Bruno RASLE
Délégué général de l’Association française des correspondants aux données personnelles (AFCDP) –
Paris (France)
Depuis sa modification en 2004, la loi Informatique et libertés invite les responsables du
traitement à prendre toutes les précautions utiles pour protéger les données personnelles. En
cas de manquement à cette obligation de moyens, le risque pénal encouru est de 5 ans de
prison et 300 000 € d’amende. Déjà passée en première lecture, la proposition de loi du
23 mars dernier sur l’obligation de notification des failles de sécurité pourrait encore être
renforcée quant aux violations de traitement de données personnelles qui vont au-delà de la
faille informatique (ex : des listes laissées dans des poubelles sur le trottoir).
L’AFCDP anticipe l’obligation de notification car la législation ne détaillera les conditions d’une
« violation de données à caractère personnel » que dans le décret d’application. L’impact de la
notification d’une faille (à la CNIL mais aussi aux personnes concernées) peut être
préjudiciable en matière d’image et de communication.
Dans la plupart des Etats américains, la loi oblige à expliquer au client les détails d’un incident
sur ses données personnelles. Dans d’autres au contraire, c’est interdit pour ne pas livrer de
détails aux pirates.
Malgré ce « patchwork » législatif américain, ces lois ont l’impact positif de faire prendre la
sécurité informatique au sérieux. Autre impact : alors qu’en France, c’est la loi qui interdit la
conservation de données, les Américains les purgent d’eux-mêmes pour réduire leur exposition
aux risques.
Air Force lutte en équipe contre les failles de sécurité
Willet ADOFO
Computer crime investigator US, AFOSI – Vogelweh (Allemagne)
Air Force base sa défense contre les failles de sécurité sur les compétences des bureaux
d’investigation en cybercriminalité et sur l’équipe de réponse aux urgences informatiques,
l’AFCERT 11. L’AFCERT détermine s’il y a une menace réelle et quelle est sa catégorie : est-ce du
ressort d’une simple application de la loi ou du contre-espionnage ? L’enquête porte alors sur
la nature de l’attaque, la sensibilité des données, et la préservation des preuves. L’AFCERT
interroge directement les personnes impliquées, analyse le matériel, et s’entoure d’avocats
pour s’adapter aux législations des différents Etats. Elle bénéficie de 90 jours pour approfondir
les recherches sans que les preuves ne soient détruites. L’enquête dévoile les techniques
utilisées par l’adversaire, les détails de l’intrusion, et permet d’identifier la personne
responsable, la ou les machine(s) infectée(s), mais aussi les faiblesses du réseau d’Air Force.
Le protocole d’alerte Zataz
Damien BANCAL
Journaliste spécialisé dans la sécurité informatique, ZATAZ – Paris (France)
Le site Zataz.com est un protocole d’alerte. Par l’intermédiaire de nos lecteurs ou de nos
propres outils, les « honey zataz12 », nous recevons des alertes sur les fuites de données
(lorsqu’un webmaster oublie de verrouiller une partie d’un site par exemple). Notre mission est
alors de faire pression sur les entreprises qui laissent des données personnelles accessibles sur
le Net. Les honey pots sont mis en place pour attirer les attaques et recueillir des
informations sur le site piraté et l’entreprise par laquelle passe l’attaque, le pays concerné, le
nombre et la durée de l’attaque. Ils parviennent même à détecter la préparation d’attaque de
masse.
Zataz a détecté la présence de 400 000 données bancaires sur le Net : nous avons prévenu
l’entreprise pour qu’elle corrige la faille, puis en tant que journaliste, j’ai informé les 400 000
personnes concernées par la presse, après correction de la faille. J’ai été attaqué au Tribunal
civil pour diffamation (procès perdu) et au pénal pour piratage informatique (procès gagné). A
l’heure actuelle, l’entreprise n’a toujours pas prévenu ses clients. Depuis le 1 er janvier 2010,
Zataz a identifié 1 863 entreprises françaises qui ont laissé des informations nominatives sur
Internet en source ouverte : 900 nous ont répondu, 300 ont corrigé la faille.
11
12
Air Force Computer Emergency Response Team
En référence aux honey pots
Les phases du protocole d’alerte
Le hacking éthique
Franck EBEL
Enseignant, responsable de la licence Collaborateur pour la défense et l’anti intrusion des systèmes
informatiques (CDAISI), IUT Informatique – Maubeuge (France)
Raphaël RAULT
Avocat, BRM Avocats – Lille (France)
Pour illustrer notre intervention, nous partirons d’un scénario fictif. Un pays de l’Est propose un
forum international auquel une société décide d’envoyer l’un de ses cadres, Monsieur
Delarevue. Depuis l’hôtel, il consulte ses e-mails via une connexion free Wifi, qui est en réalité
une borne pirate. Le pirate se place entre son ordinateur et le Wifi et capte ses informations.
-
infraction pénale d’accès de maintien frauduleux dans un système d’information pour le
pirate : 2 ans de prison et 30 000 € d’amende
-
manquement à l’obligation à sécuriser et surveiller son accès Internet pour l’abonné à un
fournisseur Internet : 1 500 € d’amende et la coupure de l’accès Internet pendant 1 an.
Lors d’un atelier du forum, l’intervenant propose de prêter sa clé usb pour récupérer les
diaporamas : C’est une clé U3 qui exécute un programme aspirant des documents.
Opération passible de 2 à 5 ans de prison et de 30 000 € à 75 000 € d’amende d’après la loi
Godfrain si le caractère frauduleux et intentionnel est prouvé.
Monsieur Delarevue laisse son ordinateur au coffre de sa chambre pendant que le personnel la
nettoie. Le « faux » personnel de l’hôtel doit récupérer un maximum d’informations sur les
participants au forum. Il extrait le portable du coffre, introduit une clé usb déclenchant un
programme avant le redémarrage du système et contourne ainsi le mot de passe. Au
redémarrage suivant, le mot de passe sera à nouveau demandé : l’infraction est donc invisible.
Ce logiciel est disponible sur le Net.
Infraction relative à loi Godfrain.
> Les personnes morales craignent des attaques internes et externes. Pour se prémunir de ces
attaques, l’entreprise doit mener une politique de sécurité interne qui se concrétise par une
charte informatique.
Bruno RASLE
Le correspondant informatique et liberté a été instauré il y a 5 ans13 et est un protecteur et
conseiller au sein de l’entreprise, qui épaule le Responsable de la sécurité et des systèmes
d’information (RSSI), en charge de la sécurité des données personnelles.
Echanges avec la salle
De la salle
Une entreprise peut avoir accès à des données personnelles à travers une faille informatique,
sans savoir qu’il s’agit d’une faille. Est-elle alors hors la loi ?
Réponse commune des intervenants
La faille de l’entreprise livrant 400 000 données bancaires a été révélée par un adolescent de
15 ans qui les a trouvées simplement en tapant le mot « contrat » sur Google. Pour s’en
prémunir, il faut quitter le site sans consulter ou modifier les données.
Sans caractère intentionnel ou frauduleux de votre part, c’est l’éditeur, le moteur de recherche
ou l’entreprise qui n’a pas protégé ses données qui sera mis en cause.
De la salle
Au même titre que l’invention de la route, le monde de l’Internet requiert une signalisation et
des règles à respecter. Internet est une « poule aux œufs d’or » : on ne tue pas une poule aux
œufs d’or, on essaie d’informer les gens, de les cadrer, et de rendre Internet plus sûr pour
tous.
13
Décret d’application juin 2005