Publié le 30-07-2010 à 15:23:55 dans le thème Réseau - Sécurité

Pays : France - Auteur : La rédaction

Pub : Tous les logiciels firewall gratuits disponibles sur Internet

600e alerte ZATAZ concernant une fuite de données sensibles visant des Français. Aujourd'hui, carte vitale, permis et RIB en accès libre.

En matière de failles de sécurités, nombre de pays dans le monde ont fait le choix de la transparence et de faire en sorte que les entreprises déclarent leurs pertes de données. Ce concept de « Data Breach Notification » venu des États-Unis et dont se sont inspirés à divers degrés le Royaume-Uni, l’Allemagne, mais aussi l’Autriche, la Lituanie, l’Estonie et la République Tchèque, intéresse autant qu’il inquiète. En France, pour le moment, le projet de loi publié le 23 mars 2010 à l’instigation d’Anne-Marie Escoffier et de Yves Détraigne, a ouvert la porte à une éventuelle obligation légale de notification à la Cnil des failles de sécurité  (cf. l'article 7, visant à renforcer l'article 34 de la loi informatique et libertés). Si elle venait à se confirmer, cette éventuelle obligation que nous avons baptisé "Amendement ZATAZ" transposerait par anticipation la directive européenne 2002/58/CE concernant la vie privée dans le secteur des communications électroniques.

Mais en attendant, les fuites n'ont jamais été aussi nombreuses. Nous venons de signer, via le protocole d'alerte de ZATAZ.COM, la 600e alerte HaideD (depuis le 1e janvier 2010, NDR) visant des serveurs informatiques d'entreprises, associations et autres entités étatiques. Dernier cas en date, une importante agence d'intérim du sud de la France. Plusieurs centaines d'intérimaires ; un chiffre d'affaire de plus de 4 millions d'euros et plusieurs serveurs ouverts sur Internet. Aucune protection. Pas de chiffrement des données. Il suffit d'un simple navigateur et d'un moteur de recherche (Google, ...) pour se retrouver, nez-à-nez, avec les données sensibles, voir très sensibles, des intérimaires inscrits. Les dossiers laissés en accès libre comprennent CV, attestation sécurité sociale, photographie, scans du permis de conduire, de la carte d'identité, du titre de séjour, du RIB, de l'aptitude médicale pour certains emplois, de demande d'accès pour des entreprises sécurisées, ...

Contactés par trois fois, dont le téléphone, cette entreprise n'a toujours pas corrigé cette fuite de données. D'après les constations de ZATAZ.COM, des informations en accès libre depuis près de deux an. Une affaire qui, sur le papier, peut coûter cher au fautif. La loi informatique et liberté (CNIL) puni ce type de fuite d'informations nominatives de sanctions pouvant atteindre 5 ans d'emprisonnement et 300 000 € d'amende (art. 226-17 du code pénal). La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. (art. 226-22 du code pénal). Il suffirait qu'un seul intérimaire dépose plainte auprès de la CNIL.

L'avenir ?
En juin 2009, les Sénateurs Détraigne et Escoffier inséraient dans leur rapport « Vie privée à l’heure des mémoires numériques » une disposition visant, a minima, à créer « une obligation de notification des failles de sécurité à la CNIL, des critères et des seuils devant être définis pour ne pas la submerger. Cette obligation pèserait sur tous les responsables de traitement ». Les sénateurs ajoutaient que « bien maîtrisée et encadrée, l’obligation de notification des failles de sécurité peut être une incitation forte au renforcement de la sécurité des données ». Ils ont intégré cette mesure dans leur proposition de loi.

Chez nos voisins, après la Grande-Bretagne, l’Allemagne vient d’opter pour la formule - comme la majorité des états américains - et les Pays-Bas s’y préparent. Le Contrôleur européen de la protection des données et le G 29 se sont déclarés très favorables à cette proposition. Le paquet Télécom comporte une telle obligation pour les FAI tandis qu’aux myriades de lois appliquées aux USA, la dernière version d’HIPPA ajoute la même contrainte à tout acteur du secteur santé. La Proposition de Loi Détraigne Escoffier est passée en première lecture au Sénat, le 23 mars. Si cette loi passe, l’article 7 imposera une « obligation de sécurisation des données incombant au responsable du traitement, et crée une obligation de notification à la Cnil des failles de sécurité, transposant par anticipation la directive 2002/58/CE concernant la vie privée dans le secteur des communications électroniques ».

La société PGP chiffrait, en 2009, le coût des effractions de données en France. Chaque dossier client compromis aurait coûté en moyenne 89 euros en 2009. La réponse a posteriori de l’incident représente le principal vecteur des coûts (31 euros), suivi conjointement par la perte de chiffre d’affaires et par les activités de détection et de reporting sur les incidents (27 euros). Le coût de notification d’une effraction ressort à 4 euros, un chiffre plutôt bas mais qui s’explique par l’absence de réglementation qui impose aux entreprises françaises de notifier de tels incidents.

Pendant ce temps...
Verizon Business et les Services secrets américains viennent de diffuser l'étude Data Breach Investigation Report 2010. Une analyse des problématiques de compromissions  de données. L’utilisation du framework commun VerIS permet de croiser les résultats de l'activité de Verizon Business en 2009 avec les enquêtes sur les crimes informatiques menées par les Services secrets américains. La série de rapports couvre maintenant six ans, plus de 900 compromissions  plus de 900 millions de données corrompus. 900 compromissions sur 6 ans ! A notre petit niveau, rien que pour la France, ZATAZ.COM est déjà à 600 fuites de données importantes en 7 mois. Le rapport américain souligne la croissance des failles en interne et de l'usage d'outils sociaux, et une forte implication des organisations criminelles dans les pertes de données. Le crime organisé serait responsable du vol de plus de 85 % des données.

A noter que Symantec, dans sa derniére publication dédiée à l'étude 2010 sur l’état de la gestion de l’information, souligne notamment que même si 87% des entreprises sont convaincues d’un plan de conservation de l’information, seules 46% en ont défini un. Cette enquête a également montré que trop d'entreprises conservent leurs données indéfiniment au lieu de mettre en place des règles permettant d'effacer en toute confiance les données ou les enregistrements sans intérêt.

Tweet

L'Agence Bolivarienne d'Activités Spatiales piratée

20-05-2013 à 00:02 - 0 commentaire(s)

L'Agence Bolivarienne d'Activités Spatiales du Venezuela infiltrée par des pirates. La base de données volée.

Fausse pub, fausse mise à jour Flash

19-05-2013 à 23:21 - 0 commentaire(s)

Depuis quelques jours, une fausse mise à jour flash apparait dans de nombreux sites Internet. Explication !

Le XSS Twitter fait encore des dégâts

19-05-2013 à 10:10 - 0 commentaire(s)

Plusieurs comptes Twitter du journal Financial Times piratés par la Syrian Electronic Army.

Big Brothers Awards, le 26 juin 2013

19-05-2013 à 00:56 - 0 commentaire(s)

Privacy France présente la 11ème édition des Big Brothers Awards le 26 juin 2013 à la Parole Errante à à Montreuil.

Cisco corrige une faille... en fait non !

18-05-2013 à 17:59 - 0 commentaire(s)

Un jeune internaute de 14 ans aide Cisco à corriger une faille. Cisco corrige... à moitié !

Opération anti Anonymous en Italie

18-05-2013 à 17:18 - 0 commentaire(s)

La police italienne a lancé l'opération Tango Down à l'encontre d'internautes soupçonnés d'avoir piraté des sites gouvernementaux sous la signature d'Anonymous.

Les Anonymous veulent libérer l'Internet Belge

18-05-2013 à 17:05 - 0 commentaire(s)

Des hacktivistes, sous la bannière Anonymous Belgium, annoncent vouloir libérer le web royal le 15 juin prochain.

Microsoft espionnerait-il via Skype ?

18-05-2013 à 16:59 - 0 commentaire(s)

Le rachat de Skype par Microsoft est-il un moyen pour l'Oncle Sam de pouvoir espionner les utilisateurs de l'outil de téléphonie via Internet ?

Cisco corrige une faille... en fait non !

Un jeune internaute de 14 ans aide Cisco à corriger une faille. Cisco corrige... à moitié !

Les Anonymous veulent libérer l'Internet Belge

Des hacktivistes, sous la bannière Anonymous Belgium, annoncent vouloir libérer le web royal le 15 juin prochain.

Arrestations dans le monde du Black Market

Après avoir piraté plusieurs banques, des pirates informatiques d'une quinzaine de pays arrêtés dans une vaste opération internationale.

Faille pour le site du CSA et Mozilla

Potentialités informatiques malveillantes pour l'espace numérique du CSA et la partie vidéos de Mozilla.

40.000

ZATAZ.COM vient de signer son 40.000ème protocole d'alerte.

Prudence aux ordinateurs en libre service dans les aéroports

Accéder au disque dur de certains ordinateurs en accès libre à Roissy. Simple comme un clic de souris.

Failles pour AOL et PhotoBucket

Deux possibilités malveillantes découvertes dans des sites du géant de l'Internet AOL et PhotoBucket.

Nouveau piratage de comptes Twitter

Les Twitters de Justin Bieber et Angelina Jolie piratés par l'Armée électronique syrienne.