Spécial sécurité : la publication officielle des fuites déterrée et le Full Disclosure enterré
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, exhument un projet de loi de deux sénateurs visant à rendre obligatoire la présence d'un correspondant Informatique et Libertés (CIL) dans pratiquement toutes les entreprises exploitant des fichiers nominatifs et à exiger une publication d’alerte en cas de fuite d’information avérée. Avant de s'inquiéter des possibles conséquences d'un récent arrêt de la cour de cassation condamnant une entreprise ayant publié l’existence d’une faille. La fin du Full Disclosure en France ?
Sommaire :
1 - Vers un CIL obligatoire et une publication officielle des fuites ?
2 - Full Disclosure : enterrement de première classe en cassation
1) Vers un CIL obligatoire et une publication officielle des fuites ?
Une proposition de loi des sénateurs Yves Détraigne et Anne-Marie Escoffier a de fortes chances de chambouler le monde français de la sécurité. De manière très lapidaire, leur texte vise à rendre obligatoire la présence d’un « correspondant Informatique et Liberté » (CIL) dans pratiquement toutes les entreprises exploitant des fichiers nominatifs, à mettre en œuvre des mesures pour que ce correspondant ne soit pas un homme de paille, et, grenade sur le gâteau, exige une publication d’alerte en cas de fuite d’information avérée. Si le texte passe, c’en est fini de l’impénétrable secret que les banques, administrations, intermédiaires financiers, grands magasins ou organismes de crédit imposent en cas de perte.
Loi utopique ? « Tout indique que ce ne sera pas une proposition-tiroir, puisque sa première lecture est prévue pour le premier trimestre 2010 » réplique Bruno Rasle, délégué général de l’Afcdp, association qui regroupe et informe les CIL de notre pays. Les exigences de conformité avec les textes européens, la nécessité de s’aligner sur les pratiques de bon nombre de pays membres de la Communauté (notamment l’Allemagne, l’Espagne, la Grande Bretagne, les Pays-Bas, la Suède, la Suisse, le Luxembourg) sont autant d’aiguillons qui poussent nos élus à faire avancer les choses.
D’autant plus, pourrait-on ajouter, que les Français prennent peu à peu conscience du long endormissement qui a frappé le pays depuis 1978, date à laquelle a été créée la loi « informatique et libertés ». Poussé par l’exemple français, dès le début des années 80, les mouvements activistes allemands (dont le Chaos Computer Club) multiplient les actions poussant leurs élus à rédiger des lois de défense des « libertés informatiques individuelles ». Depuis, non seulement le retard a été comblé, mais il n’est pas rare que les textes adoptés dans ces différents pays aillent considérablement plus loin que ce qui est imposé en France. En Allemagne, cela fait plus de 30 ans qu’existent l’équivalent des correspondants Informatique et Libertés, et il n’est pas rare qu’au fil de ses discours, Alex Türk, patron de la Cnil, cite ce pays en exemple. En Grande-Bretagne, bien que les lois sur le sujet soient encore assez floues, les associations bancaires dressent chaque année un bilan précis de la sinistralité des « fuites » de données. Fréquemment, les manchettes du Daily Mirror, du Register ou de la BBC titrent sur les affaires de fichiers, sur telle ou telle perte de clef USB par un militaire ou telle autre fuite d’information ministérielle ou administrative. Le New Scotland Yard lui-même n’est pas épargné. En Espagne, les indélicatesses avec les fichiers nominatifs font pleuvoir des amendes dont le montant est parfois à 5 ou 6 fois plus élevé que la totalité de ceux imposés par la Cnil en l’espace d’un an. Amendes la plupart du temps largement médiatisées au-delà des Pyrénées, alors qu’à l’intérieur de l’Hexagone, le fait de livrer un dossier à la presse est une mesure relativement exceptionnelle. Autant de mentalités, de cultures qui contrastent par rapport aux Cultes du Secret Bancaire, du Secret Défense, du Confidentiel d’Entreprise, du Droit de Réserve et autres motifs et bouche cousue que l’on invente de Brest à Strasbourg et de Lille à Marseille.
Un CIL obligatoire, donc, comme le précise l’article 3 de la proposition, dès lors qu’une « autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en œuvre. » Un seuil jugé trop bas par certains, trop élevé pour d’autres. Le fait de qualifier un fichier par sa volumétrie plutôt que par sa « sensibilité » peut faire bondir les spécialistes sécurité. Reste à espérer que ce point sera amélioré avant son adoption.
« C’est là, explique Bruno Rasle, une reconnaissance totale du travail des correspondants. D’une simple fonction, le titre de CIL est devenu un métier ». Un métier qui n’est pas toujours simple de pratiquer, car le CIL, malgré une formation qualifiante, est souvent le RSSI d’entreprise, un DSI, un cadre, en bref un personnage à « double casquette ». Or, les pressions que l’on ne peut officiellement pas exercer sur un CIL peuvent frapper n’importe quel cadre, sous n’importe quel prétexte. Une éventualité qui pousse l’Afcdp à demander un statut spécial et protégé pour les CIL. Un statut protégé, cela se fait déjà en Allemagne. Il serait également souhaitable que soient donné au CIL de véritables moyens, à commencer par une formation en permanence entretenue, un peu à la mode des Cissp. Outre ce savoir, un peu plus de pouvoir, autrement dit des leviers permettant de pouvoir s’informer sur la nature de tout fichier nominatif, y compris les plus occultes. Pouvoir également de signaler à la Cnil – sans risque pour le correspondant - tout soupçon d’abus ou constat de mauvaises pratiques volontairement instaurées. A noter à ce sujet que le sixième article précise et insiste sur une « obligation d’information » émise par tout responsable d’un traitement de fichier et à destination du CIL. Serait-ce la fin des « fichiers secrets » ou plus exactement l’amorce d’une possibilité de condamnation pour toute personne constituant un de ces « fichiers secrets » ?
Si l’on peut espérer une telle évolution de la profession au sein du tissu industriel, la chose semble bien plus difficile à appliquer dans l’administration ou les organismes publics. Un fonctionnaire ne risque-t-il pas plus qu’un « civil » de subir des pressions politiques ou hiérarchiques, alors que ce sont précisément ces mêmes administrations et organismes publics qui détiennent, entretiennent et utilisent les fichiers nominatifs les plus importants qui soient ? Et comment imposer un contrôle efficace au sein même d’une administration sans la constitution d’une entité totalement indépendante de la structure concernée ? Une sorte d’unité « bœuf-carottes » de la tenue de fichiers ayant pouvoir d’enquêter au sein de la Police, des Armées, de l’Education Nationale, de l’Administration Fiscale ou Judiciaire. L’idée est un peu trop libérale pour coller avec ce fond de jacobinisme qui caractérise l’Appareil d’Etat, et trop contraignante pour ceux qui souhaiteraient expédier la création et la gestion des fichiers de police par simple décret.
Vient enfin l’article 7, probablement plus important que l’obligation d’un CIL par entreprise. Il pourrait imposer deux choses majeures. En premier lieu, une « obligation de sécurisation des données ». Terme assez vague pour offrir aux RSSI et DSI le choix des armes, de la politique de mise à jour au chiffrement systématique. Un flou qui pourrait également se retourner contre eux, car rien n’interdirait, en cas d’oubli ou d’impasse sur un moyen technique donné et jugé redondant, d’accuser d’impéritie les responsables d’un fichier ayant eu la malchance de se le faire subtiliser. Le second volet de l’article impose l’« avertissement sans délai[à] la Commission nationale de l'informatique et des libertés » en cas d'atteinte au traitement de données à caractère personnel. De la fuite à l’intrusion, tout peut entrer dans ce cadre. C’est en fonction de cette alerte que la Cnil pourra exiger à son tour que le responsable du traitement de fichier alerte les personnes concernées par cette atteinte. On est très loin de l’obligation de prévenir chaque personne « au moindre doute » comme cela se pratique en Californie, mais cette disposition est tout de même plus conséquente que les réserves et exigences de « fuite avérées » imposées par les textes du Massachusetts. Tout comme ce qui concerne les verbalisations aux manquements sanctionnés jusqu’à présent par la Cnil, le fait d’obliger à rendre public ces fuites est laissé à la libre appréciation de la Commission. Une retenue – une opacité disent les plus radicaux - qui montre à quel point les choses évoluent lentement.
2) Full Disclosure : enterrement de première classe en cassation
Depuis une semaine, les discussions s’enflamment dans les forums spécialisés. Un récent arrêt de la cour de cassation condamne le responsable d’une entreprise de sécurité pour avoir publié l’existence d’une faille. A la lecture de l’arrêt, la LCEN, loi qui, à l’origine devait défendre les systèmes informatiques nationaux en boutant les « black hats » hors de France, a été employée pour poursuivre une société du Sud-Ouest de la France.
Certes, l’amende ne s’élève qu’à 1 000 euros « presque » symboliques. Certes, l’arrêt reconnaît l’absence de volonté d’incitation aux actes malveillants, mais refuse au prévenu la possibilité de « valablement arguer d'un motif légitime tiré de la volonté d'information ». Informer, c’est prendre le risque de trouver auprès du public des oreilles déviantes.
L’origine de cette décision est la conséquence d’une incroyable suite de péripéties et de rebondissements judiciaires que décrit fort précisément Cédric Blancher sur sa petite parcelle d’Internet : publication d’une information relative à une faille sur le site Web de la société en question, enquêtes de l’Oclctic et de la DST, procès, relaxe, appel, condamnation, cassation, confirmation de la condamnation, sous prétexte que le condamné ne pouvait ignorer, compte tenu de son métier, la dangerosité de l’information diffusée (laquelle, dans les semaines qui suivront, fera l’objet d’une impressionnante série d’exploits bien plus efficaces et bien moins poursuivis). Que l’éditeur du logiciel imparfait ait été prévenu n’est pas pris en compte. En revanche, le fait que ce même éditeur (Microsoft en l’occurrence) n’ait pas eu le temps de réagir et de publier un correctif avant la divulgation de l’information est une circonstance aggravante (*).
Et Cédric Blancher de poser la question « à supposer que notre condamné n'ait pas publié cet exploit, peut-on affirmer que cela aurait changé l'état de la menace qui pesait alors sur les internautes ? » et de soulever le très épineux problème de la justification des exploits. Sans aucun doute, un exploit constitue un danger. Mais en interdire la publication n’empêchera pas un autre chercheur, peut-être moins scrupuleux, de rédiger une information équivalente, voire encore plus indiscrète. Ceci, bien sûr, dans les colonnes d’un site qui pourra juridiquement échapper aux foudres de la justice française. Sans parler du fait que, sans exploit réellement efficace, il est souvent impossible de vérifier l’efficacité des correctifs proposés par les éditeurs. S’ajoute à cela un dernier argument avancé par les défenseurs d’une divulgation rapide : sans l’aiguillon de la stigmatisation, les éditeurs ne feraient rien. Il y a eu « avant Internet », âge d’or durant lequel les trous de sécurité ne relevaient que d’une querelle byzantine opposant des Unixiens barbus à des pionniers de l’industrie logicielle, et « après Internet », révélateur du manque de qualité apporté aux développements en tous genre.
Dave Aitel, patron d’Immunity Sec et vendeur de l’outil de pentest Canvas (autrement dit d’un « automate à exploit ») y voit une autre explication : le souhait occulte des gouvernements à ne voir diffuser ce genre d’informations et d’outils qu’auprès des services de police et de renseignements. Propos ironiquement extrémistes et caricaturaux, mais qui montrent bien à quel point l’attitude pudibonde d’une pensée conservatrice ne peut admettre les porteurs de « mauvaises nouvelles ». « Cet arrêt marque, explique un « confrère » du prévenu, l’arrêt formel du Full Disclosure en France, voire de toute information relative à une faille de sécurité, à tel point que nos avocats nous ont conseillé de censurer les bulletins d’alerte que nous publions nous-mêmes sur notre site ».
L’arrêt du Full Disclosure en France. Une formule qui, une fois de plus, en réjouit plus d’un, qui expliquent à qui veut bien entendre que museler ces sauvageons de la sécurité informatique, c’est empêcher les pirates de lire ce genre d’informations susceptibles de servir à écrire virus et troyens. Comme tout raisonnement simpliste, cette affirmation ne résiste pas aux faits. Depuis la promulgation de la LCEN, la majorité des chercheurs français soit vont chercher du travail en des pays moins policés, soit publient leurs découvertes par le biais protecteur d’un intermédiaire tel que Zero Day Initiative, soit expédient leurs écrits aux gestionnaires de Milw0rm, du Bugtraq et autres listes de sécurité. Quant à l’influence d’une LCEN sur la diminution des attaques informatiques, elle est plus que douteuse, si l’on se réfère aux statistiques publiées par les Symantec, Owasp, Avert, Apwg et autres Kaspersky Labs. On aurait même l’impression du contraire.
Les conséquences incalculables de cet arrêt, c’est encore Cédric Blancher qui les résume – dires que confirment l’attitude et les propos de Dave Aitel. Car, l’entreprise condamnée pour des faits relativement anciens s’est transformée depuis en « jeune pousse » spécialisée dans le développement d’exploits totalement commerciaux. Des exploits nécessaires aux tests de solidité des grandes structures informatiques pensent certains. Or, encore plus que dans le cas ayant servie de catalyseur à cette affaire, on peut craindre une nouvelle vague de condamnations. Un exploit commercial, c’est un outil perfectionné, dangereux, capable bien souvent de traverser les défenses périmétriques classiques. Bien plus qu’une publication, c’est un programme qui entre parfaitement dans la définition de la LCEN, qui pourchasse quiconque pourrait « importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 ». Seraient alors non seulement susceptibles de poursuite l’entreprise qui fait son « business des exploits », mais également les importateurs des différents programmes concurrents, les clients desdits programmes, les journaux affichant la moindre mention ou publicité des logiciels, les blogueurs y faisant allusion, etc. Si la condamnation de « X » réjouit quelques personnes, les motifs invoqués pour le condamner pourraient bien un jour se retourner contre eux et contre tous ceux qui, un jour, ont osé signaler qu’un « hack » était publiquement disponible sur une URL quelconque.
(*) : La notion de temporalité entre publication d’une faille et son exploitation est une vue de l’esprit qui n’a pas de réalité dans le domaine informatique. Il serait préférable de parler de « fenêtre de vulnérabilité » établie entre le moment de la divulgation et un état de « correction généralement appliquée ». Mais cette notion de fenêtre de vulnérabilité, associée à la « mode » grandissante du reverse engineering des rustines par les auteurs de malware, ferait de chaque éditeur un « diffuseur d’informations irresponsables ». Le législateur n’a aucun intérêt à s’engager dans une telle voie.