Il faut rendre les notifications d’incidents de sécurité obligatoires

Sénat (GNU FDL)

Retour sur le Paquet télécoms

J’évoquais voilà un an la volonté émise par l’Union européenne de rendre obligatoire la notification des incidents de sécurité dont sont victimes les opérateurs de communications électroniques, lorsqu’ils ont un impact sur des données personnelles. Cette disposition a été adoptée lors du vote final du « Paquet télécoms » au mois de novembre 2009 (un article à ce sujet et un résumé des dispositions sur le site de l’Union européenne).

La proposition de loi Détraigne/Escoffier

La France pourrait adopter très rapidement une telle disposition. En effet, une proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique » (voir le dossier législatif), a été déposée au Sénat par M. Yves Détraigne et Mme Anne-Marie Escoffier et elle sera débattue dès ce 23 mars. Ce texte a pour objectif affirmé d’appliquer dès que possible un certain nombre de dispositions du Paquet télécoms. La commission des lois a déposé son rapport le 24 février dernier. On trouve dans ce texte plusieurs mesures portant notamment sur:

  • l’information des usagers sur l’utilisation des données personnelles (notamment sur le régime des cookies) ;
  • le droit à l’oubli ;
  • une clarification du statut de l’adresse IP ;
  • et l’obligation pour tous les responsables de traitements de données à caractère personnel de notifier la CNIL en cas d’atteintes à ces traitements.

Plus précisément, après l’examen par la commission des lois, l’article 7 serait ainsi rédigé :

L’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Art. 34. – Le responsable du traitement met en oeuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicites.

« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant « informatique et libertés », ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le correspondant « informatique et libertés » prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données et informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant « informatique et libertés ».

« Les dispositions du présent article ne s’appliquent pas aux traitements de données à caractère personnel désignés à l’article 26.

« Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés aux 2° et 6° du II de l’article 8. »

C’est un réel progrès par rapport aux dispositions prévues dans la directive européenne. En effet, celle-ci se limite, à cause de son contexte, aux opérateurs de communications électroniques. La proposition de loi est ici plus rationnelle en ce qu’elle fait peser les mêmes responsabilités à tous les responsables de traitement.

A quelle situation cherche-t-on à répondre ?

Sans vouloir faire de reproches à l’un ou l’autre, les pays qui ont de tels régimes de notification nous montrent qu’en réalité ce ne sont pas les opérateurs qui rencontrent le plus d’incidents, mais beaucoup plus souvent les professionnels du commerce électronique. Certainement parce qu’ils sont beaucoup plus nombreux que les opérateurs de communications électroniques et peut-être parce que la sécurité des traitements de données personnelles y est malheureusement parfois jugée moins prioritaire ou trop coûteuse.

Ainsi, on apprenait vendredi que les clients du groupe hôtelier Wyndham ont été victimes pour la troisième fois (!) d’une attaque réussie contre le système d’information de cette entreprise. Et les exemples sont extrêmement nombreux aux Etats-Unis, à cause de l’obligation de notification qui tend à se généraliser (avec à la clé un projet de législation fédérale). Ainsi, le site databreaches.net (qui affiche comme titre presque comme un service fédéral « Bureau de la sécurité inadaptée« ) se fait fort de référencer toutes les attaques qui touchent des données personnelles.

En Europe des alertes semblables sont rares, en France elles sont quasi inexistantes. Pourtant, certains sites d’information se font fort de mettre en avant les failles de sécurité (et j’avais expliqué les risques juridiques inhérents à cette activité ici). En octobre dernier, une attaque réussie contre un commerçant espagnol avait des répercussions jusqu’en Finlande. Encore en Finlande, on apprenait cette semaine que près de 100.000 références bancaires ont été dérobées dans les ordinateurs d’un commerce.

Lorsque les clients sont avertis d’un tel incident avéré, cela leur permet de prendre des mesures. Par exemple, lorsque cela concerne leur numéro de carte bancaire, ils peuvent procéder à des vérifications plus approfondies qu’à l’habitude sur leurs relevés de compte et si nécessaire demander le renouvellement de leur carte compromise.

Enfin, il est très rare qu’une entreprise soit poursuivie au titre de l’article 226-17 du code pénal (pour défaut de sécurisation d’un traitement de données à caractère personnel). Non pas parce que de telles situations n’arrivent pas, mais très clairement, lorsqu’on compare au nombre d’incidents qui surviennent ailleurs dans le monde, parce qu’elles restent confidentielles. Je ne souhaite pas la multiplication de telles enquêtes, mais lorsqu’elles sont justifiées, la nouvelle rédaction de l’article 34 de la loi informatique et libertés sera soit plus dissuasive, soit plus facile à appliquer.

Cette proposition de loi remplit donc plusieurs objectifs :

  • rendre plus opérationnelle et plus claire l’obligation de sécurisation prévue par l’article 34 de la loi informatique et libertés ;
  • sensibiliser plus avant les responsables de traitement sur leurs obligations, ainsi que sur le rôle que peut jouer dans cette affaire le correspondant informatique et libertés ;
  • enfin, à permettre aux victimes d’être effectivement informées et de prendre toutes mesures pour prévenir un impact plus important sur leurs données personnelles.

Parmi les recommandations que je donnerais aux responsables de traitement – et donc aussi aux correspondants informatique et libertés qui sont mis en avant dans la proposition de loi – c’est de ne pas hésiter à déposer plainte lorsque de tels incidents sont découverts. En effet, le meilleur remède à ces attaques est de pouvoir en interpeller les auteurs et il ne nous est pas possible de le faire sans recueillir des preuves auprès des victimes et sans initier des enquêtes.

De l’affaire Zataz et des sites d’information sur la sécurité en général

Grandville_-_Descente_dans_les_ateliers_de_la_libert%C3%A9_de_la_presse[1]

Cet article pour appeler mes lecteurs à lire un article qui donne un point de vue intéressant sur l’affaire Zataz, sur le blog de Sid, et en discuter quelques aspects complémentaires.

Pour mémoire : il s’agit dans cette affaire de plaintes successives (au civil puis pour diffamation) dont a été l’objet le gestionnaire du site Zataz suite à la publication d’un article révélant un incident de sécurité qu’aurait vécu une société de commerce en ligne. Comme beaucoup de sites d’information de sécurité, Zataz publie régulièrement des alertes sur de tels incidents, non sans avoir auparavant prévenu les gestionnaires concernés.

Cette mise en cause publique n’a apparemment pas été appréciée et Sid estime que c’est peut-être parce que la sécurisation des données personnelles des clients n’était – à un instant donné dans le passé – pas complètement assurée. La société plaignante aurait finalement déclaré qu’elle ne souhaitait pas faire appliquer les sanctions prononcées contre le journaliste.

La démonstration de Sid est détaillée et je vous invite donc à la lire. Par ailleurs vous pouvez aussi consulter:

  • L’arrêt de la Cour d’appel de Paris 2ème chambre Arrêt du 09 septembre 2009 (sur Legalis.net), où l’on découvre un débat d’experts, mais où manifestement ne transparaissent pas tous les éléments d’appréciation,
  • La présentation des faits sur le site Zataz.

Le débat sur les sites d’information de sécurité informatique

En préambule, je tiens à souligner que ce n’est pas la bonne foi d’un journaliste que je questionne – d’ailleurs le plaignant dans cette affaire semble finalement le reconnaître, mais bien de la situation juridique dont je cherche à débattre. On est en effet dans une situation d’insécurité juridique aussi bien pour les personnes qui cherchent à protéger leurs données, que celles qui souhaitent informer librement le public.

Sur la discussion juridique donc, le droit français ne prévoit pas (article 323-1 du code pénal) que des données doivent être protégées par un dispositif spécifique pour qu’il y ait accès frauduleux à un système de traitement automatisé de données (de la même façon, même si comparaison n’est pas raison, qu’il n’est nul besoin d’effraction pour que le vol soit reconnu, même si l’assurance ne couvre pas ces cas-là).

Toutefois, il faut que l’intention (comme pour toute infraction, son élément moral) soit prouvée, à savoir la conscience de pénétrer dans un serveur privé (comme lorsqu’on pousse la porte d’un appartement). Donc, soit en contournant une sécurité – même faible, soit en s’apercevant – par exemple – de la nature confidentielle des données. Et c’est justement ici que l’on trouve les limites de l’exercice des sites d’information sur la sécurité, puisque ce qui est cherché ce sont justement les failles et l’existence de données confidentielles non protégées: on peut légitimement supposer l’intention d’accéder à des secrets. Même si la motivation est honnête, l’intention d’un accès frauduleux (non autorisé ou non voulu par son propriétaire) sera donc le cas le plus courant.

Il revient ensuite évidemment à l’expert d’évaluer si le service qui a permis l’accès à ces données était :

  • librement offert à tout visiteur (notamment depuis le site Web de l’entreprise),
  • accessible uniquement en effectuant des recherches poussées (et dans ce cas-là si la personne mise en cause à volontairement ou involontairement trouvé ces données),
  • accessible uniquement en contournant un dispositif de sécurité.

Contrairement à la situation d’entreprises chargées par leurs clients de tester la sécurité de leurs serveurs, un journaliste ne peut se prévaloir dans ces circonstances d’une relation préalable avec l’entreprise testée et donc d’une présomption d’autorisation à accéder aux systèmes et à leurs données – souvent formalisée dans le contrat conclu entre les deux parties.

La loi n’a pas non plus prévu d’exemption générale pour les professionnels, comme ce serait le cas dans l’article 323-3-1 du code pénal en matière de possession d’outils de piratage par des spécialistes en sécurité informatique. Et le droit d’informer ne justifie pas de commettre des infractions.

Et pourtant, il paraît socialement utile, comme le souligne Sid, que le public soit informé de l’existence de défauts (de façon générale) dans la sécurisation des données personnelles qu’ils confient à des tiers.

Cette affaire donc, comme en son temps l’aventure très semblable vécue par un autre journaliste en ligne (Affaire kitetoa.com), démontre clairement la nécessité d’un débat sur les règles juridiques et déontologiques à appliquer aux sites d’information sur la sécurité informatique. Cela renvoie aussi au débat sur une obligation qui devrait bientôt peser sur les opérateurs de communications électronique de signaler les atteintes importantes aux données personnelles qu’ils administrent et que va introduire le Paquet télécom: faut-il généraliser ce principe à tous les professionnels ? Un événement tel que celui vécu par un grand intermédiaire financier américain en début d’année serait-il rendu public en Europe ou en tous cas ses clients informés ?

Notification obligatoire d’incidents de sécurité

parlement_europeenLe « Paquet télécom » est actuellement amplement débattu au sujet d’amendements relatifs à la riposte graduée. Mais attardons-nous sur une disposition particulièrement intéressante.

Il s’agirait d’introduire dans la directive Européenne 2002/21/CE relative à un cadre règlementaire commun pour les réseaux et services de communications électroniques (directive « cadre ») une disposition prévoyant que tout opérateur de réseau ou de services de communication électronique au public doive avertir leur autorité de contrôle nationale des incidents de sécurité ou de la perte de l’intégrité des données de leurs abonnés, ayant eu un impact significatif.

Aucun texte – jusqu’à présent – au niveau Européen n’impose une telle obligation. En France, il en est de même et les dépôts de plainte des opérateurs ou de tout autre professionnel gérant des données personnelles sont extrêmement rare, alors que toutes les études démontrent que de tels incidents existent (on peut citer par exemple l’étude menée par le Clusif tous les deux ans).

Du point de vue des services d’enquête, une telle mesure serait particulièrement intéressante, car sans ces signalements ou dépôts de plainte, il n’est pas possible de mener des investigations sur ces faits, d’en collecter les preuves et d’espérer en arrêter les auteurs ou de poursuivre, le cas échéant, les investigations avec les collègues d’autres pays.

Du point de vue des clients, une telle mesure permettrait d’avoir une meilleure information sur de tels incidents et, éventuellement, d’envisager des mesures individuelles de sécurisation de ses données personnelles (changer ses mots de passe par exemple). Cela imposera bien entendu de faire une communication précise de ces informations. Mais la notification prévue dans la rédaction actuelle s’arrête à l’autorité de régulation nationale, est-ce suffisant ?

Enfin, il est intéressant de noter que le texte prévoit une sorte de seuil (la notion d’impact significatif), pour éviter d’imposer une obligation de signalement au moindre incident. Peut-être conviendra-t-il dans chaque Etat membre de préciser cette notion, si le texte devait être voté. L’autre élément du débat enfin est de savoir s’il ne faut pas imposer une telle disposition aux professionnels qui ne relèvent pas de la règlementation concernant les opérateurs de communications électroniques.

Le texte est consultable ici, en page 61.

Ce « Paquet télécom » est donc intéressant à suivre dans les mois qui viennent !

%d blogueurs aiment cette page :