22
oct
2

Paquet Télécom / CNIL: une fausse bonne nouvelle ?

Bon, j’arrive un peu après la bataille… Le sujet a été déjà pas mal discuté sur la toile notamment chez Sid ou plus juridiquement sur le blog du cabinet ITEANU.

Petit résumé rapide pour les non initiés. Depuis le 24 Août dernier, le paquet Télécom impose aux opérateurs déclarés à l’ARCEP de remonter à la CNIL tout incident de sécurité ayant pu entraîner la fuite de données personnelles. La CNIL pouvant par la suite décider d’effectuer un signalement aux personnes concernées, donc bien souvent les clients de ces opérateurs.

Comme beaucoup de monde suite à cette annonce ma première réaction a été très positive. La démarche est clairement intéressante pour les consommateurs que nous sommes,  je pense notamment au grand nombre de personnes qui utilisent le même mot de passe un peu partout et qui représentent une mine d’or pour les scammers, spammers, arnhackers et autres truands numériques… Être prévenu permettrait d’essayer de prendre des mesures.

Sauf qu’évidemment tout n’est pas si rose:

  • Ce texte ne s’applique qu’aux opérateurs déclarés ARCEP (la liste est ici), donc au final peu de monde…
  • La communication officielle ne se fait que si la CNIL juge que les données n’étaient pas correctement protégées (chiffrées ?!)
  • La CNIL n’est pas trop zélée dans ses missions et quand bien même elle le serait, elle n’a surement pas les effectifs nécessaires pour que le risque d’un contrôle soit trop important.
  • Et corollaire du point précédent: la CNIL on l’utilise quand elle va dans son sens mais sinon on s’en fout…

Laissez moi illustrer ce dernier point, légèrement trolleur, par une anecdote. Il se trouve justement que lors d’un test d’intrusion mené il y a peu sur le périmètre d’un opérateur ARCEP, un petit malin avait décidé d’en faire de même dans son coin.

L’internaute masqué derrière un pseudo de 1337 H4X0R, remonte une vulnérabilité à l’opérateur (une injection SQL, encore…)  via un mail plus ou moins anonyme sans donner de détails, mais en fournissant un extrait de la base de donnée utilisée par l’application et en précisant qu’il espérait bien une rétribution financière en l’échange de la localisation précise de la vulnérabilité.

L’amusante (hum hum) manière de procéder de cet internaute, que j’assimile à une sorte d’extorsion, mériterait à elle même un troll velu comme on les aime mais là n’est pas le sujet. Suite à la réception de ce mail, l’opérateur me prévient pour identifier la faille au plus vite, ce qui est fait dans l’heure. La vulnérabilité sera corrigée dans la nuit !

Alors ? Sujet clos ? Pour la vulnérabilité oui. En revanche il est clair que le contenu de la base de données a été compromis par un individu dont l’intégrité laisse à désirer et on peut donc envisager voir resurgir cette base  un jour quelque part sur le Net, base qui, bien évidemment, contenait des données personnelles !

Belle aubaine pour ma part, moi qui voulais justement voir la machine Paquet Télécom à l’oeuvre me voilà servi et j’aborde donc le sujet lors de la présentation des résultats via un petit rappel juridique concernant ce texte de loi tout récent mais déjà applicable.

La réponse de la direction est immédiate “Oui, oui, on est au courant. On va en parler entre nous cet-après midi” ce qui après passage dans un Google Translate approximatif donne “Oui on sait, on est bien emmerdés, mais comme le risque commercial est plus faible si on ne remonte pas à la CNIL on ne fera rien !”. Quelle déception de voir une si belle mécanique grippée dès la clé introduite dans le contacteur ! ;)

Au final, peut-on les blâmer ? Je ne pense pas, car effectivement, effectuer un signalement de fuite de données personnelles c’est risquer de ternir son image de marque et de perdre une quantité non négligeable de clients voire même de se manger quelques plaintes alors que le risque que l’affaire remonte aux oreilles de la CNIL et qu’elle sanctionne l’opérateur est relativement faible… Le choix est vite fait !

Donc de mon point de vue il n’y a pas d’amélioration. Reste à voir si les “hacker” vont se mettre à dénoncer leurs victimes à la CNIL ?!

Heat Miser

2 Commentaires:
  1. […] => Paquet Télécom / CNIL: une fausse bonne nouvelle ?. 22/10/2011. «Bon, j’arrive un peu après la bataille… Le sujet a été déjà pas mal discuté sur la toile notamment chez Sid ou plus juridiquement sur le blog du cabinet ITEANU. Petit résumé rapide pour les non initiés (…).» Source : http://www.heat-miser.net/2011/10/22/paquet-telecom-cnil-une-fausse-bonne-nouvelle/ […]

  2. […] jQuery("#errors*").hide(); window.location= data.themeInternalUrl; } }); } http://www.heat-miser.net – Today, 10:12 […]

Commenter




Celadon theme by the Themes Boutique