Publié le 30-07-2010 à 15:23:55 dans le thème Réseau - Sécurité

Pays : France - Auteur : La rédaction

Pub : Tous les logiciels firewall gratuits disponibles sur Internet

600e alerte ZATAZ concernant une fuite de données sensibles visant des Français. Aujourd'hui, carte vitale, permis et RIB en accès libre.

En matière de failles de sécurités, nombre de pays dans le monde ont fait le choix de la transparence et de faire en sorte que les entreprises déclarent leurs pertes de données. Ce concept de « Data Breach Notification » venu des États-Unis et dont se sont inspirés à divers degrés le Royaume-Uni, l’Allemagne, mais aussi l’Autriche, la Lituanie, l’Estonie et la République Tchèque, intéresse autant qu’il inquiète. En France, pour le moment, le projet de loi publié le 23 mars 2010 à l’instigation d’Anne-Marie Escoffier et de Yves Détraigne, a ouvert la porte à une éventuelle obligation légale de notification à la Cnil des failles de sécurité  (cf. l'article 7, visant à renforcer l'article 34 de la loi informatique et libertés). Si elle venait à se confirmer, cette éventuelle obligation que nous avons baptisé "Amendement ZATAZ" transposerait par anticipation la directive européenne 2002/58/CE concernant la vie privée dans le secteur des communications électroniques.

Mais en attendant, les fuites n'ont jamais été aussi nombreuses. Nous venons de signer, via le protocole d'alerte de ZATAZ.COM, la 600e alerte HaideD (depuis le 1e janvier 2010, NDR) visant des serveurs informatiques d'entreprises, associations et autres entités étatiques. Dernier cas en date, une importante agence d'intérim du sud de la France. Plusieurs centaines d'intérimaires ; un chiffre d'affaire de plus de 4 millions d'euros et plusieurs serveurs ouverts sur Internet. Aucune protection. Pas de chiffrement des données. Il suffit d'un simple navigateur et d'un moteur de recherche (Google, ...) pour se retrouver, nez-à-nez, avec les données sensibles, voir très sensibles, des intérimaires inscrits. Les dossiers laissés en accès libre comprennent CV, attestation sécurité sociale, photographie, scans du permis de conduire, de la carte d'identité, du titre de séjour, du RIB, de l'aptitude médicale pour certains emplois, de demande d'accès pour des entreprises sécurisées, ...

Contactés par trois fois, dont le téléphone, cette entreprise n'a toujours pas corrigé cette fuite de données. D'après les constations de ZATAZ.COM, des informations en accès libre depuis près de deux an. Une affaire qui, sur le papier, peut coûter cher au fautif. La loi informatique et liberté (CNIL) puni ce type de fuite d'informations nominatives de sanctions pouvant atteindre 5 ans d'emprisonnement et 300 000 € d'amende (art. 226-17 du code pénal). La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. (art. 226-22 du code pénal). Il suffirait qu'un seul intérimaire dépose plainte auprès de la CNIL.

L'avenir ?
En juin 2009, les Sénateurs Détraigne et Escoffier inséraient dans leur rapport « Vie privée à l’heure des mémoires numériques » une disposition visant, a minima, à créer « une obligation de notification des failles de sécurité à la CNIL, des critères et des seuils devant être définis pour ne pas la submerger. Cette obligation pèserait sur tous les responsables de traitement ». Les sénateurs ajoutaient que « bien maîtrisée et encadrée, l’obligation de notification des failles de sécurité peut être une incitation forte au renforcement de la sécurité des données ». Ils ont intégré cette mesure dans leur proposition de loi.

Chez nos voisins, après la Grande-Bretagne, l’Allemagne vient d’opter pour la formule - comme la majorité des états américains - et les Pays-Bas s’y préparent. Le Contrôleur européen de la protection des données et le G 29 se sont déclarés très favorables à cette proposition. Le paquet Télécom comporte une telle obligation pour les FAI tandis qu’aux myriades de lois appliquées aux USA, la dernière version d’HIPPA ajoute la même contrainte à tout acteur du secteur santé. La Proposition de Loi Détraigne Escoffier est passée en première lecture au Sénat, le 23 mars. Si cette loi passe, l’article 7 imposera une « obligation de sécurisation des données incombant au responsable du traitement, et crée une obligation de notification à la Cnil des failles de sécurité, transposant par anticipation la directive 2002/58/CE concernant la vie privée dans le secteur des communications électroniques ».

La société PGP chiffrait, en 2009, le coût des effractions de données en France. Chaque dossier client compromis aurait coûté en moyenne 89 euros en 2009. La réponse a posteriori de l’incident représente le principal vecteur des coûts (31 euros), suivi conjointement par la perte de chiffre d’affaires et par les activités de détection et de reporting sur les incidents (27 euros). Le coût de notification d’une effraction ressort à 4 euros, un chiffre plutôt bas mais qui s’explique par l’absence de réglementation qui impose aux entreprises françaises de notifier de tels incidents.

Pendant ce temps...
Verizon Business et les Services secrets américains viennent de diffuser l'étude Data Breach Investigation Report 2010. Une analyse des problématiques de compromissions  de données. L’utilisation du framework commun VerIS permet de croiser les résultats de l'activité de Verizon Business en 2009 avec les enquêtes sur les crimes informatiques menées par les Services secrets américains. La série de rapports couvre maintenant six ans, plus de 900 compromissions  plus de 900 millions de données corrompus. 900 compromissions sur 6 ans ! A notre petit niveau, rien que pour la France, ZATAZ.COM est déjà à 600 fuites de données importantes en 7 mois. Le rapport américain souligne la croissance des failles en interne et de l'usage d'outils sociaux, et une forte implication des organisations criminelles dans les pertes de données. Le crime organisé serait responsable du vol de plus de 85 % des données.

A noter que Symantec, dans sa derniére publication dédiée à l'étude 2010 sur l’état de la gestion de l’information, souligne notamment que même si 87% des entreprises sont convaincues d’un plan de conservation de l’information, seules 46% en ont défini un. Cette enquête a également montré que trop d'entreprises conservent leurs données indéfiniment au lieu de mettre en place des règles permettant d'effacer en toute confiance les données ou les enregistrements sans intérêt.

Tweet

Double authentification Twitter... ou pas

23-05-2013 à 09:39 - 0 commentaire(s)

Twitter annonce une sécurité renforcée via une double authentification. Et les autres failles ?

Danger via MySpace et DailyMotion

21-05-2013 à 09:47 - 0 commentaire(s)

Potentialités malveillantes à partir des sites communautaires MySpace et DailyMotion.

Un espace web Nestlé dangereux

21-05-2013 à 09:37 - 0 commentaire(s)

Un espace Nestlé, dédié aux bébés, propose des potentialités malveillantes aux pirates

Le site de George W. Bush dangereux

21-05-2013 à 08:28 - 0 commentaire(s)

Une faille sur le site Internet de l'ancien président américain, George W. Bush, permet de piéger les internautes.

Cyber attaque à coups de PDF malveillants

21-05-2013 à 08:19 - 0 commentaire(s)

Une cyber-attaque principalement orientée vers le Pakistan à travers de faux documents PDF attachés.

Deux ans de prison pour piratage d'écoles

20-05-2013 à 12:46 - 1 commentaire(s)

Après avoir piraté plusieurs universités et un site Internet de la police, un jeune internaute écope de 2 ans de prison ferme.

348Go d'images pédophiles par hasard dans un hd

20-05-2013 à 12:18 - 2 commentaire(s)

Un internaute Français explique au tribunal que les 348Go d'images pédopornographiques sont arrivées chez lui à cause d'un piratage.

Bose piraté, base de données volées

20-05-2013 à 12:01 - 1 commentaire(s)

Le marque de luxe de matériel hi-fi BOSE piratée. Les données clients volées.

Danger via MySpace et DailyMotion

Potentialités malveillantes à partir des sites communautaires MySpace et DailyMotion.

Un espace web Nestlé dangereux

Un espace Nestlé, dédié aux bébés, propose des potentialités malveillantes aux pirates

Le site de George W. Bush dangereux

Une faille sur le site Internet de l'ancien président américain, George W. Bush, permet de piéger les internautes.

Hack de badges Mifare Classic avec son smartphone

Bidouiller des cartes Mifare via le NFC de votre smartphone, possible, avec NFC Mifare Classic Scanner.

Cisco corrige une faille... en fait non !

Un jeune internaute de 14 ans aide Cisco à corriger une faille. Cisco corrige... à moitié !

Les Anonymous veulent libérer l'Internet Belge

Des hacktivistes, sous la bannière Anonymous Belgium, annoncent vouloir libérer le web royal le 15 juin prochain.

Arrestations dans le monde du Black Market

Après avoir piraté plusieurs banques, des pirates informatiques d'une quinzaine de pays arrêtés dans une vaste opération internationale.

Faille pour le site du CSA et Mozilla

Potentialités informatiques malveillantes pour l'espace numérique du CSA et la partie vidéos de Mozilla.