PJLNumérique : la cybersécurité ne va pas s’en sortir grandie

0dayLes anciens internautes le savent, en matière de sécurité informatique, la France bat des records d’immobilisme. On pourrait mettre ça sur le compte d’un système éducatif à la traîne, sur le compte d’un manque de cyber souveraineté , sur le compte des pirates qui assassinent des artistes à coups de clics, sur le compte des anciens astronautes, mais on revient toujours au fait politique, celui qui fait la loi.

Jusque là, il existait un texte assez poussiéreux, l’article 226-17 du code pénal, qui définissait une obligation de sécurité pour les responsables de traitement de données personnelles. Mieux, la jurisprudence ne limitait pas l’obligation de sécurité à une obligation de moyens, mais elle l’étendait à une obligation de résultat. Tout allait alors pour le mieux dans le meilleur des mondes puisque si un responsable de traitement ou même un sous-traitant faisait n’importe quoi avec vos données de santé ou vos données bancaires, ce qui n’arrive jamais c’est bien connu, il encourrait une peine de 5 ans de prison et 300 000 euros d’amende. Dans les faits, un nombre infime d’affaires ont été portées devant les tribunaux sur le fondement de cet article. Bref, cet article n’a pas servi à grand chose, mais c’est probablement parce qu’il ne concernait pas assez de monde (#oupas).

Dans un élan sécuritaire visant à éduquer les particuliers à la cybersécurité, le législateur a étendu l’obligation de sécurité « pour tous », en définissant une infraction de négligence caractérisée. L’abonné à Internet a maintenant pour obligation de sécuriser sa connexion pour s’assurer que cette dernière ne serve pas de moyen au cyber-génocide des artistes. L’internaute encourt un mail, suivi d’un recommandé, suivi d’une coupure de connexion. Il y a bien eu un jour une connexion coupée, mais pas celle d’un particulier. Hay caramba, encore raté. Jusque là, tout allait toujours pour le mieux dans le meilleur des mondes puisque tout le monde était condamnable pour une raison ou pour une autre (il ne faut se fermer aucune porte) :

  • le vilain pirate qui pirate et cherche à tuer toute la planète ;
  • le vilain mauvais admin qui procrastine ;
  • la mamie du Cantal qui ne capte rien à cette histoire de « faille heurouâle au paine ofisse » et « ouifi crypté à Heuesse tékahypé » du mail de recommandation qu’elle a reçu sur son adresse Caramail, dont elle ne se souvient plus de l’URL.

Et puis, un jour, le législateur s’est aperçu d’un truc qu’on lui expliquait depuis 30 ans

Là vous vous dites « mais c’est super, on va enfin foutre la paix aux chercheurs qui trouvent et aux journalistes qui font leur métier ».

Faut pas déconner non plus…

Protéger les lanceurs d’alerte, mais pas trop

Le projet de loi sur le numérique a soulevé la question de la protection des lanceurs d’alerte. On se dit, forcément, que ça va dans le bon sens. Mais soulever une question, c’est une chose, y apporter une réponse sensée en est une autre et étrangement, c’est rarement sur le second point que le politique excelle quand ça touche au numérique.

Les députés PS ont eu une idée géniale, exempter les lanceurs d’alerte de peine, mais pas de poursuite, ni de garde vue, ni de procès

L’amendement qui te protège, camarade, ça donne ça en pratique :

« Vous êtes un chercheur qui trouve ? Vous venez de sauver la planète en alertant les autorités au détour d’une recherche Gogleuh vous donnant accès aux centrifugeuses de la centrale nucléaire de Fessenheim ? Vous visiteriez bien nos geôles 72h, on a quelques questions à vous poser, mais ce sera plus rapide si vous vous passez d’un avocat, donc c’est une formalité hein. En plus c’est super, vous êtes exempté de peine ! Bon il y aura un procès donc prévoyez quand même un petit budget avocat au cas oùoui en plus de celui pour remplacer la porte que nous venons d’enfoncer ».

Ça donne envie non ?

Rebondissement aujourd’hui comme l’explique Nextinpact, le signalement pourrait se faire directement à l’ANSSI, ce qui est en soi une bonne chose. Cette dernière pourra (ou pas), s’exempter de son obligation de dénonciation de délit… sympa non ?

Le bon côté de l’affaire, c’est que l’ANSSI ne sera probablement pas débordée par les signalements.

Moralité, si vous êtes lanceur d’alerte, lancez plutôt des chouquettes, si vous êtes chercheur en sécurité, évitez de trouver, et surtout, si vous trouvez… fermez là.

Sinon, vous pouvez toujours revendre vos 0day à Hacking Team, c’est immoral, ils les revendront à de parfaits salopards, mais au moins, vous ne risquez pas de garde à vue.

Ah ! Oui vous aussi vous vous demandez ce que va devenir notre article 226-17 du code pénal, qui définissait une obligation de sécurité pour les responsables de traitement de données personnelles ? Ah mais ça on s’en fout ! Contre ça, il y a le bon vieux « gogogadgétobug ».

Allez, voici un petit exemple très actuel avec les LuxLeaks:

Étape 1 : nommer un « enquêteur » (enfin une auditrice interne) qui découvre les permissions non récursives sur un dossier d’un serveur de fichiers (niveau 1er trimestre de BTS info).

permissions

Étape 2 : faire gober au juge que c’est une faille informatique, un bug… alors qu’il s’agit d’un problème d’interface chaise/clavier bien connu, ici le classique « on a pas lu le chapitre permissions de la documentation avant de mettre en prod notre intranet ulta secure, mais on est sûr que c’est un 0DAY »… too easy.

Étape 3 : crier au piratage et faire condamner au motif de maintien frauduleux dans un espace public (on a testé pour vous).

La cyber sécurité française était au bord du gouffre, mais comptons sur le législateur pour nous faire faire un grand pas en avant.

Twitter Facebook Google Plus email

3 thoughts on “PJLNumérique : la cybersécurité ne va pas s’en sortir grandie”

  1. euuuuuuuuuuh alors attends si je fais appel à ma mémoire, le maintien des ACL en NTFS c’est uniquement sur un couper-coller (un déplacemenbt de données) MAIS uniquement sur du NTFS géré par 2003 Server et avant; car à partir de 2008 même un déplacement de données récupère les droits de la destination…

    Hum faut que je vérifie là.

    Si je ne dis pas de connerie, là ça donne une idée de l’infra où étaient situées les données.
    Je teste de mon côté.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *