Pertes de données : les affaires se multiplient outre-Manche et outre-Atlantique
Depuis le début du mois d’août, LeMagIT vous propose de découvrir des extraits de CNIS Mag. Ce magazine sur la sécurité des systèmes d’information a publié son premier numéro à l'occasion des Assises de la sécurité et vient de lancer son site internet. Dans cet article, nos confrères de CNIS font un point sur la récente vague de pertes et vols de données qui a affecté les pays anglo-saxons. Bien sûr, de telles choses ne pourraient jamais arriver en France...
La communauté scientifique toute entière s’interroge : et si la perte de données n’était que le fruit d’une prédisposition congénitale, d’une variation génétique ? Car, cela semble un fait acquis, il suffit qu’une population contienne une majorité d’anglo-saxons pour que les informations s’éparpillent comme miettes de pain sur les pas du Petit Poucet. En France, exception faite de rarissimes cas d’escroquerie à la carte de crédit ne touchant qu’une frange très réduite de sympathisants atlantistes, de telles choses n’arrivent bien sûr jamais...
Mais revenons à nos crédences en décrépitude. Et plus particulièrement celles appartenant à de Grands Commis de la Couronne d’Angleterre, distraitement égarées par un ingénieur d’Atos Origin, sous-traitant by appointment of Her Majesty the Queen. Egarées… voilà qui n’est pas très grave. Mais lorsque la clef USB contenant lesdites identités et mots de passe est retrouvée dans le parking d’un pub de Cannock, Staffordshire, la presse s’en empare, avec des envolées d’autant plus virulentes que les affaires de ce genre se multiplient.
L’édition longue de la BBC ou l’ « expurgated version » du Sun font toutes deux remarquer qu’il ne se passe plus une semaine sans que l’on apprenne la perte d’un fichier, tantôt militaire, tantôt administratif, tantôt ministériel… Des mauvaises langues diraient même qu’il y a plus de trous dans les procédures de sécurité de Sa Gracieuse Majesté que sur les routes de Blackburn, Lancashire. La palme du titre tapageur revient à nos confrères du Mail Online qui titre « Tax website shut down as memory stick with secret personal data of 12 million is found in a pub car park ». Les crédences situées dans la clef offrait un droit d’accès au système de l’administration fiscale, et très indirectement aux 12 millions de « happy taxpayers »Britanniques.
Fort heureusement, le fait même d’avoir retrouvé la clef fugueuse prouve que ce n’était là qu’un « léger incident ». Comparativement parlant, les statistiques publiées par RSA sur les méfaits officiellement comptabilisés du spyware Synowal semblent bien plus éloquentes : « 270 000 crédences d’accès à des comptes en banque en ligne, près de 240 000 numéros de cartes de débit ou crédit, le tout accompagné des noms, prénoms et autres données personnelles complétant généralement ce genre d’information » nous apprend Brian Krebs du Washington Post.
Et ce ne sont pas là de vagues estimations catastrophistes tirées de la boule de cristal d’un Directeur Marketing spécialisé dans la vente d’antivirus. Ce sont très exactement les résultats comptables des données récupérées sur l’un des serveurs chargé de collecter les informations émises par chaque Troyen. En tout, ce sont près de 300 000 comptes qui ont été compromis, forfait perpétré sur une durée s’étalant sur un peu moins de 3 ans explique en détail le blog de RSA.
Trois longues années, durant lesquelles le programme espion et ses différentes variantes ont travaillé dans l’ombre, avec efficacité. De quoi faire pâlir de jalousie les gourous du « development lifecycle », du code « réutilisable » et de l’écriture de programmes « trustworthy».
Et lorsque la fuite n’est ni criminelle, ni accidentelle, elle est le fruit d’une négligence administrative. Le GAO, Government Accountability Office des USA, publie un rapport assez explosif sur les « fuites » plus ou moins organisées par les administrations locales des « comtés ». Il est, il a toujours été possible de consulter les registres communaux dans les locaux des mairies. L’accès à ces données parfois privées étant d’ailleurs souvent soumis à la présentation d’une pièce d’identité prouvant que le demandeur n’est pas un professionnel du pillage d’informations.
Or, depuis la généralisation d’Internet dans les services de l’Etat Civil Américain, cet accès non seulement n’est plus limité aux seuls habitants du comté, mais il est en outre très rare (23% seulement des cas) que l’identité du consultant soit vérifiée ou même demandée. Pis encore, les fichiers mis en pâture à la curiosité publique contiennent parfois bien plus que ce qu’il est prudent de communiquer. A commencer par les numéros de sécurité sociale. Du coup, le GAO dénonce la multiplication de véritables « étalages publics » de données privées.