Data breach notification

Les détournements de données et leur notification

Big_DataAprès un long silence, ce billet sur la notification des incidents de sécurité, et en particulier ceux qui relèvent de détournements de données à caractère personnel. L’actualité nous en apporte effectivement l’exemple avec le cas de la société Orange qui avertit depuis quelques heures ses clients sur un détournement de certaines catégories de données depuis les systèmes d’information qu’elle gère. La France est en retard, mais c’est le cas dans beaucoup de pays, sur la culture de la notification, et plus généralement sur le choix ou non de rendre public une atteinte à son système d’informations: ce n’est pas une tâche facile pour les responsables de la sécurité des systèmes d’information.

Un nécessaire partage d’informations

En préambule, il est important de se rappeler que tout système d’information est susceptible d’être un jour victime d’une tentative d’intrusion ou d’une intrusion réussie. Cela ne relève pas du marketing de la peur en matière de sécurité numérique, mais d’une réalité bien tangible (voir cet article des Echos qui évoque le marché des données) pour toute personne responsable d’un système d’information et pour ses responsables de la sécurité, administrateurs systèmes et autres acteurs de la chaîne de confiance. Les données, quelles qu’elles soient, ont une valeur, souvent marchande, qui attise d’autant plus l’intérêt des délinquants.

A cela, il faut rajouter les situations où des vulnérabilités sont découvertes et signalées à son responsable par un chercheur, un utilisateur du système ou encore un auditeur. Il revient alors à l’organisation de corriger rapidement la faille, y compris en prenant des mesures conservatoires (indisponibilité du service comme lorsque voilà quelques semaines le fisc canadien rendait indisponible son système de déclaration d’impôts dans la phase de correction de la faille Heartbleed).

Dans tous les cas, il est important de partager l’information avec des cercles plus ou moins larges en fonction des circonstances. Les motivations sont multiples:

  1. informer les organisations exerçant le même métier, les professionnels de la SSI sur des risques particuliers ;
  2. informer les développeurs des solutions logicielles et matérielles concernées, ainsi que potentiellement leurs utilisateurs ;
  3. informer les personnes concernées – lorsque leurs données personnelles sont potentiellement compromises.

Dans le premier cas, ce partage pourra être réalisé publiquement (blogs de certains CERT, de certaines équipes de sécurité qui publient des retours d’expérience, lors de conférences, dans des articles) ou bien dans des cercles plus restreints parce que la confiance y est plus forte et le partage peut rentrer dans des détails plus poussés pour permettre aux autres acteurs du secteur, les utilisateurs d’un même outil, de mettre en œuvre les mesures correctrices avant qu’elles ne puissent être exploitées.

J’ai évoqué la seconde situation à de multiples reprises dans des articles de ce blog (dernier exemple l’an dernier sur les mises à jour de Java), il y a encore de gros progrès à faire dans la façon dont la communauté de la sécurité gère ces questions, mais la prise de conscience est globale.

Enfin, lorsque des données personnelles sont compromises, il peut être nécessaire, après évaluation des données concernées et de leur impact, de prévenir très rapidement les personnes concernées, par exemple pour éviter que leurs numéros de cartes bancaires ne soient utilisés à des fins malveillantes.

A cela, il faut rajouter l’action des autorités de contrôle: en matière de protection des infrastructures vitales (rôle de l’ANSSI en France) ou des données à caractère personnel (CNIL).

Certaines de ces situations sont couvertes par des obligations légales et réglementaires que je vous propose de parcourir rapidement.

Le cadre juridique

En effet, il existe aujourd’hui un cadre juridique (article précédent sur ce même blog appelant à son émergence) qui renforce les obligations de certains acteurs (dont celles introduites par une ordonnance du 24 août 2011, que j’évoquais dans le livre La cybercriminalité en mouvement au paragraphe 6.2.3) et la récente Loi de programmation militaire :

  • l’article L33-1 du code des postes et communications électroniques (CPCE) précise que l’établissement et l’exploitation de réseaux ouverts au public et la fourniture au public de services de communications électroniques est soumise au respect de règles portant sur « Les conditions de permanence, de qualité, de disponibilité, de sécurité et d’intégrité du réseau et du service qui incluent des obligations de notification à l’autorité compétente des atteintes à la sécurité ou à l’intégrité des réseaux et services » ;
  • l’article R20-44-39 (anciennement R20-44-35) du CPCE prévoit que l’office gérant les noms de domaine de premier niveau correspondant au pays (l’organisme chargé par l’Etat de gérer les noms de domaines en .fr notamment) reçoit un cahier des charges qui prévoit des « exigences relatives à la notification aux services de l’Etat des atteintes ou tentatives d’atteintes à la sécurité du service » ;
  • l’article D98-5 du CPCE prévoit des dispositions complémentaires relatives à l’intégrité ou à la sécurité en ce qui concerne les opérateurs: information des abonnés « lorsqu’il existe un risque particulier de violation de la sécurité du réseau » et du ministère de l’intérieur en cas « d’atteinte à la sécurité ou perte d’intégrité ayant un impact significatif sur le fonctionnement de ses réseaux ou de ses services » ;
  • un article L34bis récent inséré dans la loi informatique et libertés, qui vient compléter l’article L34 qui oblige toute personne opérant un traitement de données à caractère personnel à « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (le non respect de cette disposition constitue l’infraction prévue à l’article 226-17 du code pénal), en prévoyant une obligation de notification à la CNIL [EDIT du 08/05/2014] portant spécifiquement sur tout « traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification » [/EDIT] de tout incident important et si nécessaire la communication aux personnes concernées ;
  • enfin, l’article 22 de la Loi de programmation militaire du 18 décembre 2013 (articles L1332-6-1 et suivants du code de la défense) rend obligatoire la déclaration des incidents constatés par les opérateurs d’importance vitale sur leurs systèmes d’information.

Nota: les opérateurs d’importance vitale sont définis par les articles L1332-1 et L1332-2 du code de la défense comme étant d’une part « les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation » et d’autre part « des établissements mentionnés à l’article L. 511-1 du code de l’environnement [installations dites classées pour la protection de l’environnement] ou comprenant une installation nucléaire de base visée à l’article L593-1 du code de l’environnement quand la destruction ou l’avarie de certaines installations de ces établissements peut présenter un danger grave pour la population ».

Nota 2: la notification sur le site de la CNIL concernant les fournisseurs de services de communications électroniques (les opérateurs de façon très large) est accessible ici.

A ce jour, le cadre juridique porte donc sur: les opérateurs d’importance vitale, les opérateurs de communications électroniques (dont certains sont aussi des OIV) – ainsi qu’en pratique l’AFNIC – et les personnes qui traitent des données à caractère personnel [EDIT du 08/05/2014](obligation de sécurité pour tous et de notification pour les fournisseurs de services de communications électroniques)[/EDIT].

[Au passage, j’ai noté plusieurs débats sur la question juridique du « vol de données ». Effectivement, il n’est pas constamment accepté en droit français qu’on puisse voler des données (à caractère personnel ou uniquement confidentiel), parce que le vol suppose la soustraction. Toutefois, cette notion de copie frauduleuse de données mériterait vraisemblablement de recevoir un cadre juridique plus protecteur. Lorsqu’il s’agit de données nominatives on pourra évidemment viser la collecte frauduleuse prévue par la loi informatique et libertés. En revanche, pour des données uniquement confidentielles, il n’y a pas à ce jour d’infraction spécifique, ni de terminologie reconnue – il existe par exemple une proposition de loi sur le secret des affaires qui adresse partiellement cette question.]

Conclusion

Le cadre juridique ne fait pas tout, mais pour les secteurs qu’il couvre (données personnelles [EDIT du 08/05/2014] et notamment celles traitées par les opérateurs [/EDIT] et OIV) il permet une plus grande clarté dans la responsabilité des acteurs. Toutefois, on ne peut qu’appeler à de plus amples échanges sur ces questions, qu’il s’agisse d’échanges directs entre professionnels concernés, avec les éditeurs et utilisateurs de solutions ou vers les publics directement concernés à chaque fois qu’il y a des risques ou des incidents avérés.

Enfin, il est essentiel pour toute organisation de se préparer à devoir gérer un tel incident (et donc à l’évaluation de la situation qui en découle, les mesures nécessaires et la communication à réaliser). Les entreprises ou les administrations qui vivent récemment ce type d’événements essuient un peu les plâtres en matière de communication autour de ces sujets parce que la culture ou la législation ne les y poussait pas, mais montrent aussi qu’il est possible de gérer une telle situation.

Et pour conclure, j’ajouterai qu‘il est important que l’on devienne tous plus objectifs et constructifs face à ces situations: il peut arriver à toute organisation des circonstances où les mesures de sécurité prises n’ont pas été suffisantes, toutefois être en mesure de détecter rapidement l’incident (grâce à des mesures internes ou grâce à des signalements externes rapidement pris en compte) est aussi une phase importante de la gestion de ces incidents, puis apporter des informations précises aux personnes concernées en est une autre. Ainsi, sans banaliser ce type d’incidents parce qu’on va en parler de plus en plus quand ils seront rendus publics, il faut surtout apprendre à mieux les gérer ensemble: par exemple, beaucoup d’articles se contentent de relayer l’information sur les incidents (jouant parfois sur le sensationnel) sans apporter aucun conseil exploitable aux lecteurs.

J’en profite donc pour rajouter quelques conseils:

  • si vos données personnelles ont été compromises, il est important d’obtenir et de comprendre de la personne qui les gérait les détails des données concernées ;
  • si votre adresse de courrier électronique a été compromise, il faut renforcer sa vigilance quant aux messages que l’on reçoit – mais ce conseil vaut de façon générale, les adresses de courrier électronique circulant quand même aujourd’hui énormément et ne pas hésiter à signaler les messages problématiques ou suspects ;
  • si votre mot de passe a été compromis (certains sites ne le protègent pas correctement), évidemment il faudra le modifier sur le site concerné, mais aussi pensez à le changer sur d’autres sites où vous auriez placé un mot de passe identique (ce qui en soi est une mauvaise idée, pensez à utiliser des mots de passe variés) – il en va de même pour les questions secrètes de récupération de mots de passe, essayez de les varier quand c’est possible. La CNIL donne un certain nombre de conseils sur la sécurité des mots de passe ;
  • si votre numéro de carte bancaire est concerné (ce qui ne devrait pas arriver chez des commerçants en ligne en France à cause de la règlementation en vigueur mais pourrait survenir sur des sites étrangers), il faut rapidement contacter son agence bancaire pour leur en faire part et vérifier les transactions depuis l’incident, à la recherche de potentielles transactions frauduleuses.

Il faut rendre les notifications d’incidents de sécurité obligatoires

Sénat (GNU FDL)

Retour sur le Paquet télécoms

J’évoquais voilà un an la volonté émise par l’Union européenne de rendre obligatoire la notification des incidents de sécurité dont sont victimes les opérateurs de communications électroniques, lorsqu’ils ont un impact sur des données personnelles. Cette disposition a été adoptée lors du vote final du « Paquet télécoms » au mois de novembre 2009 (un article à ce sujet et un résumé des dispositions sur le site de l’Union européenne).

La proposition de loi Détraigne/Escoffier

La France pourrait adopter très rapidement une telle disposition. En effet, une proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique » (voir le dossier législatif), a été déposée au Sénat par M. Yves Détraigne et Mme Anne-Marie Escoffier et elle sera débattue dès ce 23 mars. Ce texte a pour objectif affirmé d’appliquer dès que possible un certain nombre de dispositions du Paquet télécoms. La commission des lois a déposé son rapport le 24 février dernier. On trouve dans ce texte plusieurs mesures portant notamment sur:

  • l’information des usagers sur l’utilisation des données personnelles (notamment sur le régime des cookies) ;
  • le droit à l’oubli ;
  • une clarification du statut de l’adresse IP ;
  • et l’obligation pour tous les responsables de traitements de données à caractère personnel de notifier la CNIL en cas d’atteintes à ces traitements.

Plus précisément, après l’examen par la commission des lois, l’article 7 serait ainsi rédigé :

L’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Art. 34. – Le responsable du traitement met en oeuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicites.

« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant « informatique et libertés », ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le correspondant « informatique et libertés » prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données et informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant « informatique et libertés ».

« Les dispositions du présent article ne s’appliquent pas aux traitements de données à caractère personnel désignés à l’article 26.

« Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés aux 2° et 6° du II de l’article 8. »

C’est un réel progrès par rapport aux dispositions prévues dans la directive européenne. En effet, celle-ci se limite, à cause de son contexte, aux opérateurs de communications électroniques. La proposition de loi est ici plus rationnelle en ce qu’elle fait peser les mêmes responsabilités à tous les responsables de traitement.

A quelle situation cherche-t-on à répondre ?

Sans vouloir faire de reproches à l’un ou l’autre, les pays qui ont de tels régimes de notification nous montrent qu’en réalité ce ne sont pas les opérateurs qui rencontrent le plus d’incidents, mais beaucoup plus souvent les professionnels du commerce électronique. Certainement parce qu’ils sont beaucoup plus nombreux que les opérateurs de communications électroniques et peut-être parce que la sécurité des traitements de données personnelles y est malheureusement parfois jugée moins prioritaire ou trop coûteuse.

Ainsi, on apprenait vendredi que les clients du groupe hôtelier Wyndham ont été victimes pour la troisième fois (!) d’une attaque réussie contre le système d’information de cette entreprise. Et les exemples sont extrêmement nombreux aux Etats-Unis, à cause de l’obligation de notification qui tend à se généraliser (avec à la clé un projet de législation fédérale). Ainsi, le site databreaches.net (qui affiche comme titre presque comme un service fédéral « Bureau de la sécurité inadaptée« ) se fait fort de référencer toutes les attaques qui touchent des données personnelles.

En Europe des alertes semblables sont rares, en France elles sont quasi inexistantes. Pourtant, certains sites d’information se font fort de mettre en avant les failles de sécurité (et j’avais expliqué les risques juridiques inhérents à cette activité ici). En octobre dernier, une attaque réussie contre un commerçant espagnol avait des répercussions jusqu’en Finlande. Encore en Finlande, on apprenait cette semaine que près de 100.000 références bancaires ont été dérobées dans les ordinateurs d’un commerce.

Lorsque les clients sont avertis d’un tel incident avéré, cela leur permet de prendre des mesures. Par exemple, lorsque cela concerne leur numéro de carte bancaire, ils peuvent procéder à des vérifications plus approfondies qu’à l’habitude sur leurs relevés de compte et si nécessaire demander le renouvellement de leur carte compromise.

Enfin, il est très rare qu’une entreprise soit poursuivie au titre de l’article 226-17 du code pénal (pour défaut de sécurisation d’un traitement de données à caractère personnel). Non pas parce que de telles situations n’arrivent pas, mais très clairement, lorsqu’on compare au nombre d’incidents qui surviennent ailleurs dans le monde, parce qu’elles restent confidentielles. Je ne souhaite pas la multiplication de telles enquêtes, mais lorsqu’elles sont justifiées, la nouvelle rédaction de l’article 34 de la loi informatique et libertés sera soit plus dissuasive, soit plus facile à appliquer.

Cette proposition de loi remplit donc plusieurs objectifs :

  • rendre plus opérationnelle et plus claire l’obligation de sécurisation prévue par l’article 34 de la loi informatique et libertés ;
  • sensibiliser plus avant les responsables de traitement sur leurs obligations, ainsi que sur le rôle que peut jouer dans cette affaire le correspondant informatique et libertés ;
  • enfin, à permettre aux victimes d’être effectivement informées et de prendre toutes mesures pour prévenir un impact plus important sur leurs données personnelles.

Parmi les recommandations que je donnerais aux responsables de traitement – et donc aussi aux correspondants informatique et libertés qui sont mis en avant dans la proposition de loi – c’est de ne pas hésiter à déposer plainte lorsque de tels incidents sont découverts. En effet, le meilleur remède à ces attaques est de pouvoir en interpeller les auteurs et il ne nous est pas possible de le faire sans recueillir des preuves auprès des victimes et sans initier des enquêtes.