Publié le 30-07-2010 à 15:23:55 dans le thème Réseau - Sécurité

Pays : France - Auteur : La rédaction

Pub : Découvrez les Labs ZATAZ

600e alerte ZATAZ concernant une fuite de données sensibles visant des Français. Aujourd'hui, carte vitale, permis et RIB en accès libre.

En matière de failles de sécurités, nombre de pays dans le monde ont fait le choix de la transparence et de faire en sorte que les entreprises déclarent leurs pertes de données. Ce concept de « Data Breach Notification » venu des États-Unis et dont se sont inspirés à divers degrés le Royaume-Uni, l’Allemagne, mais aussi l’Autriche, la Lituanie, l’Estonie et la République Tchèque, intéresse autant qu’il inquiète. En France, pour le moment, le projet de loi publié le 23 mars 2010 à l’instigation d’Anne-Marie Escoffier et de Yves Détraigne, a ouvert la porte à une éventuelle obligation légale de notification à la Cnil des failles de sécurité  (cf. l'article 7, visant à renforcer l'article 34 de la loi informatique et libertés). Si elle venait à se confirmer, cette éventuelle obligation que nous avons baptisé "Amendement ZATAZ" transposerait par anticipation la directive européenne 2002/58/CE concernant la vie privée dans le secteur des communications électroniques.

Mais en attendant, les fuites n'ont jamais été aussi nombreuses. Nous venons de signer, via le protocole d'alerte de ZATAZ.COM, la 600e alerte HaideD (depuis le 1e janvier 2010, NDR) visant des serveurs informatiques d'entreprises, associations et autres entités étatiques. Dernier cas en date, une importante agence d'intérim du sud de la France. Plusieurs centaines d'intérimaires ; un chiffre d'affaire de plus de 4 millions d'euros et plusieurs serveurs ouverts sur Internet. Aucune protection. Pas de chiffrement des données. Il suffit d'un simple navigateur et d'un moteur de recherche (Google, ...) pour se retrouver, nez-à-nez, avec les données sensibles, voir très sensibles, des intérimaires inscrits. Les dossiers laissés en accès libre comprennent CV, attestation sécurité sociale, photographie, scans du permis de conduire, de la carte d'identité, du titre de séjour, du RIB, de l'aptitude médicale pour certains emplois, de demande d'accès pour des entreprises sécurisées, ...

Contactés par trois fois, dont le téléphone, cette entreprise n'a toujours pas corrigé cette fuite de données. D'après les constations de ZATAZ.COM, des informations en accès libre depuis près de deux an. Une affaire qui, sur le papier, peut coûter cher au fautif. La loi informatique et liberté (CNIL) puni ce type de fuite d'informations nominatives de sanctions pouvant atteindre 5 ans d'emprisonnement et 300 000 € d'amende (art. 226-17 du code pénal). La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. (art. 226-22 du code pénal). Il suffirait qu'un seul intérimaire dépose plainte auprès de la CNIL.

L'avenir ?
En juin 2009, les Sénateurs Détraigne et Escoffier inséraient dans leur rapport « Vie privée à l’heure des mémoires numériques » une disposition visant, a minima, à créer « une obligation de notification des failles de sécurité à la CNIL, des critères et des seuils devant être définis pour ne pas la submerger. Cette obligation pèserait sur tous les responsables de traitement ». Les sénateurs ajoutaient que « bien maîtrisée et encadrée, l’obligation de notification des failles de sécurité peut être une incitation forte au renforcement de la sécurité des données ». Ils ont intégré cette mesure dans leur proposition de loi.

Chez nos voisins, après la Grande-Bretagne, l’Allemagne vient d’opter pour la formule - comme la majorité des états américains - et les Pays-Bas s’y préparent. Le Contrôleur européen de la protection des données et le G 29 se sont déclarés très favorables à cette proposition. Le paquet Télécom comporte une telle obligation pour les FAI tandis qu’aux myriades de lois appliquées aux USA, la dernière version d’HIPPA ajoute la même contrainte à tout acteur du secteur santé. La Proposition de Loi Détraigne Escoffier est passée en première lecture au Sénat, le 23 mars. Si cette loi passe, l’article 7 imposera une « obligation de sécurisation des données incombant au responsable du traitement, et crée une obligation de notification à la Cnil des failles de sécurité, transposant par anticipation la directive 2002/58/CE concernant la vie privée dans le secteur des communications électroniques ».

La société PGP chiffrait, en 2009, le coût des effractions de données en France. Chaque dossier client compromis aurait coûté en moyenne 89 euros en 2009. La réponse a posteriori de l’incident représente le principal vecteur des coûts (31 euros), suivi conjointement par la perte de chiffre d’affaires et par les activités de détection et de reporting sur les incidents (27 euros). Le coût de notification d’une effraction ressort à 4 euros, un chiffre plutôt bas mais qui s’explique par l’absence de réglementation qui impose aux entreprises françaises de notifier de tels incidents.

Pendant ce temps...
Verizon Business et les Services secrets américains viennent de diffuser l'étude Data Breach Investigation Report 2010. Une analyse des problématiques de compromissions  de données. L’utilisation du framework commun VerIS permet de croiser les résultats de l'activité de Verizon Business en 2009 avec les enquêtes sur les crimes informatiques menées par les Services secrets américains. La série de rapports couvre maintenant six ans, plus de 900 compromissions  plus de 900 millions de données corrompus. 900 compromissions sur 6 ans ! A notre petit niveau, rien que pour la France, ZATAZ.COM est déjà à 600 fuites de données importantes en 7 mois. Le rapport américain souligne la croissance des failles en interne et de l'usage d'outils sociaux, et une forte implication des organisations criminelles dans les pertes de données. Le crime organisé serait responsable du vol de plus de 85 % des données.

A noter que Symantec, dans sa derniére publication dédiée à l'étude 2010 sur l’état de la gestion de l’information, souligne notamment que même si 87% des entreprises sont convaincues d’un plan de conservation de l’information, seules 46% en ont défini un. Cette enquête a également montré que trop d'entreprises conservent leurs données indéfiniment au lieu de mettre en place des règles permettant d'effacer en toute confiance les données ou les enregistrements sans intérêt.

Tweet

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Faille sur le site Wikileaks

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

La Ville de Chambéry corrige une fuite de données

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.