Failles de sécurité et violation de données personnelles
« Failles de sécurité et violation de données personnelles » la dernière publication du cabinet Alain
faille de sécurité
IoT et cloud : gérer la sécurité par le contrat
IoT et cloud sont indissociables au point que la sécurité de l’IoT implique de disposer d’un bon contrat cloud.
Le hacking ça peut payer… légalement
Le hacking : « accès et maintien frauduleux dans un système de traitement automatisé de données » va changer.
Failles de sécurité : quelles actions mettre en oeuvre ?
Virginie Bensoussan-Brulé expose les actions à mettre en œuvre consécutivement à la découverte de failles de sécurité.
Objets connectés de santé : sécurité des données
Dans le cadre de son avis sur les objets connectés (1), le G29 avait émis un avertissement quant aux risques
Comment réagir en cas de failles de sécurité ?
Qu’elles proviennent d’une erreur, d’une négligence ou de procédés illicites, les failles de sécurité représentent
Sécurité et Objets Connectés
Petit-déjeuner du 20 mai 2015 « Sécurité et Objets Connectés » – Polyanna Bigle et Nacira Salvan, responsable du pôle architecture sécurité de SAFRAN Aerospace Defense Security, ont animé un petit-déjeuner sur le management de la sécurité des objets connectés.
Failles de sécurité : bilan et tendances
Petit-déjeuner du 25 mars 2015 « Failles de sécurité : bilan et tendances ». Virginie Bensoussan-Brulé et Chloé Torres ont abordé les bons réflexes et les actions à mettre en œuvre en matière de failles de sécurité.
Les atteintes au STAD par l’exploitation de failles de sécurité
L’exploitation de failles de sécurité fait partie des atteintes au STAD par l’introduction frauduleuse de données dans le système. Un internaute qui souhaitait plaisanter l’a appris à ses dépends. Humour ou infraction ? Telle est, en substance, la question que le Tribunal correctionnel de Paris a eu à trancher dans sa décision du 18 décembre 2014. Tout est parti d’une mauvaise blague. Ayant constaté que le site internet officiel de la députée-maire Rachida Dati comportait une faille informatique, un internaute quelque peu connaisseur s’est aperçu, non sans amusement, que celle-ci lui permettait d’injecter directement du contenu dans les différentes pages du site. Il pouvait ainsi modifier directement les dires de la députée-maire et lui prêter de faux communiqués de presse, fort parodiques. Si l’internaute prenait plaisir à la plaisanterie, il en était toutefois le seul public, la manipulation n’emportant nullement modification ou suppression de données du site officiel de Rachida Dati. Son résultat consistait uniquement en la création d’un lien internet pouvant être diffusé : quiconque accédait donc au lien pouvait voir apparaître le contenu ainsi modifié. Notre internaute l’avait compris, plus on est de fous, plus on rit. Décidant qu’il était temps de donner à sa blague une audience élargie, il fait alors appel à un second internaute qui lui fournit un nom de domaine (www.tweetpop.fr/le-cadeau-de-rachida), hébergeant un site internet dédié à la farce. Le site offre la possibilité à tout internaute, fût-il même novice en informatique, d’exploiter la faille de sécurité constatée et d’afficher sur son navigateur un communiqué de presse formellement semblable en tous points à ceux publiés sur le site officiel de la députée maire (identité de la mise en page générale, présence d’une photographie de Rachida Dati, similitude des couleurs utilisées, respect de la charte graphique, etc.), à l’exception, bien sûr, du contenu du communiqué, librement modifiable par quiconque a actionné le lien. Avec la rediffusion de ce même lien sur le compte Twitter de notre premier internaute (qui ne possédait pas moins de 4 000 contacts), les faux communiqués de presse, prêtant à Rachida Dati des propos injurieux ou diffamatoires tant sur elle-même que sur d’autres, font alors légion. De nombreux internautes s’en donnent à cœur joie et la rare finesse de l’humour déployé peut, d’ailleurs être saluée, comme en atteste, par exemple, le remplacement de la mention officielle « Groupe PPE » (Parti Populaire Européen) par la mention « Groupe PIPE ». Seulement, la blague n’est pas du goût de tout le monde. Apprenant la nouvelle, la députée-maire, quant à elle, rit jaune et dépose immédiatement plainte contre X auprès des services de police pour atteintes aux systèmes de traitement automatisé de données (STAD) et usurpation d’identité sur support numérique. Nos deux internautes ne tardent pas alors à être identifiés et la blague tourne court. Le premier internaute (qui avait constaté la faille et l’avait rendue publique) écope, en effet, d’une amende de 3000 euros pour les chefs d’usurpation de l’identité d’un tiers et d’introduction frauduleuse de données dans un système de traitement automatisé (STAD). Le second (qui avait fourni le nom de domaine permettant de rendre publique l’existence de la faille informatique) est, quant à lui, condamné au paiement d’une amende de 500 euros du chef de complicité d’usurpation de l’identité d’un tiers. La relative sévérité de ces peines semble être nettement fonction de la piètre qualité de leur humour, comme le révèlent les sermons, presque paternalistes, adressés lors de l’audience par le président de la 13e chambre correctionnelle. Tant et si bien, d’ailleurs, que certains se demandent si ce niveau de qualité n’a pas été jusqu’à guider la caractérisation de l’une des infractions. Le jugement du 18 décembre 2014 présente, en effet, un intérêt particulier au regard du droit pénal. L’application de la loi Godfrain (loi n°88-19 du 5 janvier 1988), qui avait inséré dans le Code pénal un article 323-3 venant réprimer l’introduction frauduleuse de données dans un système de traitement automatisé (STAD), ne coulait pas de source, en l’espèce. Un doute existait, à dire vrai, sur l’application de cette infraction à notre premier internaute, dans la mesure où la faille informatique ainsi reprochée n’intervenait, comme dit plus haut, que pour lui seul, sans que le site officiel de la députée-maire n’en soit nullement altéré. Notre internaute introduisait-il alors véritablement des données dans le STAD en cause, dans la mesure où ces données n’avaient ni pour vocation ni pour effet d’y demeurer ? A tout le moins, la question méritait d’être posée. Or, l’argumentation du parquet la laisse en suspens, affirmant en guise de réponse que le prévenu « avait manifestement cherché à tromper le serveur et faire du champ rechercher un usage contraire à sa vocation initiale et non-souhaité par le « maître du système », ce dont il avait connaissance ». Autrement dit, à démultiplier les failles, il avait fait en sorte que le site officiel paraisse incohérent et, dès lors, s’était rendu coupable d’une introduction frauduleuse de données. Ce raisonnement, qui ne justifie nullement en quoi l’introduction de données était réellement caractérisée, a donc attisé quelques critiques, notamment celles du quotidien Le Monde, qui y voit un élargissement de l’infraction d’introduction frauduleuse dans un STAD jusqu’à en faire un « délit technique subjectif », en ce qu’il tient compte des intentions de l’auteur du site. Le second enjeu majeur de la décision a, bien évidemment, trait à la liberté d’expression, thème brûlant de notre actualité politique. A son sujet, le tribunal affirme que « Si la liberté d’expression est une notion fondamentale de toute démocratie, celle-ci doit naturellement trouver ses limites et il est de jurisprudence constante que cette liberté ne doit en aucune mesure viser à porter atteinte à l’honneur ou à la considération d’une personne, même si celle-ci est publique ». Derrière la reprise de cette formule classique, se devine pourtant aisément la difficulté de mise en œuvre de cette liberté et de ses limites. La solution eut-elle été la même si l’humour avait été plus fin ? Le doute demeure. Eu égard tant à l’application
Failles de sécurité : quel régime juridique ?
Quel est le régime juridique des failles de sécurité ? Chloé Torres répond aux questions de la rédaction de La Semaine
La base de données en ligne de Ryanair est protégée par contrat
L’utilisation commerciale de la base de données en ligne de Ryanair est interdite. La Cour de Justice de l’Union Européenne l’a confirmé dans un arrêt rendu le 15 janvier 2015. Il s’agit d’un arrêt capital sur la protection juridique d’une base de données au regard de la Directive 96/9/CE dans un litige opposant la compagnie aérienne Ryanair et la société néerlandaise PR Aviation exploitant un site de comparateur de prix et d’information sur les vols. PR Aviation obtient les données concernant les vols de la compagnie Ryanair sur le site internet de celle-ci. Or les conditions générales d’utilisation du site Ryanair interdisent l’utilisation des données à titre commercial (1). Invoquant la directive 96/9/CE, Ryanair a fait valoir que la société PR Aviation avait violé ses droits de producteur de base de données et agi en méconnaissance des conditions générales d’utilisation de son site Internet, qu’elle avait pourtant acceptées. Par jugement du 28 juillet 2010, le tribunal d’Utrecht a rejeté la demande de Ryanair dans la mesure où celle-ci était fondée sur une violation de la directive 96/9 et de la loi sur les bases de données. Cette position a été confirmée en appel par cour d’appel d’Amsterdam par un arrêt du 13 mars 2012, la cour estimant que Ryanair n’avait pas établi l’existence d’un «investissement substantiel» dans la création de sa base de données. Rappelons en effet que le droit du producteur de base de données est conditionné à la preuve d’un investissement substantiel dans la création de la base de données (à l’exclusion de la création de son contenu). La cour d’appel a par ailleurs considéré que le non-respect de l’interdiction d’utiliser les données à des fins commerciales posée par les conditions générales d’utilisation du site ne constituait pas un manquement car une telle interdiction contrevenait aux dispositions d’ordre public issues de la directive 96/9 conférant aux utilisateurs de base de données mises à disposition du public le droit d’en extraire des parties non substantielles à toutes fins, y compris à des fins commerciales (2). Ryanair ayant formé un pourvoi contre cette décision devant la Cour suprême des Pays-Bas, celle-ci s’est interrogée sur le point de savoir si la directive 96/9, et en particulier ses dispositions limitant la liberté contractuelle du producteur de base de données, s’appliquait aux bases de données qui n’étaient protégeables ni par le droit d’auteur, au titre du chapitre 2 de la directive, ni par le droit sui generis du producteur de base de données, au titre du chapitre III de la directive. Telle était la question préjudicielle soumise à la CJUE, et à laquelle celle-ci a répondu par la négative (3). La réponse n’allait pas de soi. Comme le faisait valoir la société PR Aviation, elle aboutit au paradoxe que le créateur d’une base de données non protégée jouit d’une plus grande liberté contractuelle que celui qui bénéficie d’un droit sui generis de producteur de base de données, le premier étant libre d’interdire de manière absolue tout usage commercial des données, ce que le second n’a pas le droit de faire. Par ailleurs, c’est bien la directive 96/9 qui a institué une définition légale de la notion de base de données (4), définition à laquelle la base de données de Ryanair répondait en l’espèce. Cependant les motifs exposés par la CJUE sont d’une logique difficilement contestable : une directive doit s’interpréter au regard de sa finalité, qui est ici d’organiser une protection des bases de données au regard de deux régimes distincts : droit d’auteur et droit sui generis du producteur de base de données. Dès lors qu’une base de données n’est éligible à aucun de ces deux droits, elle ne relève pas du champ d’application de la directive, et son régime de protection éventuel relève du droit national. C’est donc au regard du seul droit national que doit s’apprécier la licéité de dispositions contractuelles interdisant la reprise à des fins commerciales des données issues de telles bases de données. En France, il doit être recouru au droit des obligations, mais aussi de la concurrence ou de la consommation, pour déterminer le caractère licite, ou le cas échéant abusif, de ces restrictions contractuelles. Laurence Tellier-Loniewski Lexing Droit Propriété intellectuelle (1) Les conditions générales prévoient « L’utilisation de systèmes automatisés ou de logiciels pour extraire des données de ce site Internet ou du site Internet www.bookryanair.com à des fins commerciales (capture de données d’écran) (screenscraping) est interdite, à moins que des tiers n’aient conclu directement avec Ryanair une convention de licence écrite, dans laquelle il est donné accès à la partie concernée, uniquement dans un but de comparaison des prix, aux informations de Ryanair sur les prix, vols et horaires. » (2) Aux termes de l’article 8 – 1 de la directive 96/9, « Le fabricant d’une base de données qui est mise à la disposition du public de quelque manière que ce soit ne peut empêcher l’utilisateur légitime de cette base d’extraire et/ou de réutiliser des parties non substantielles de son contenu, évaluées de façon qualitative ou quantitative, à quelque fin que ce soit. » Ces dispositions sont d’ordre public en vertu de l’article 15 de la directive. (3) La directive 96/9/CE du Parlement européen et du Conseil, du 11 mars 1996, concernant la protection juridique des bases de données, doit être interprétée en ce sens qu’elle n’est pas applicable à une base de données qui n’est protégée ni par le droit d’auteur ni par le droit sui generis en vertu de cette directive, si bien que les articles 6, paragraphe 1, 8 et 15 de ladite directive ne font pas obstacle à ce que le créateur d’une telle base de données établisse des limitations contractuelles à l’utilisation de celle-ci par des tiers, sans préjudice du droit national applicable. (4) L’article 1 de la directive 96/9 dispose : « 1. La présente directive concerne la protection juridique des bases de données, quelle que soient leurs formes. 2. Aux fins de la présente directive, on entend par « base de données », un recueil d’œuvres, de données ou
Fichiers informatiques : détournement et abus de confiance
Fichiers informatiques. Le chargé de clientèle d’un cabinet de courtage a fait part à son employeur de son intention de démissionner, afin d’occuper le même poste dans un cabinet concurrent.
Piratage des serveurs de Sony Pictures aux Etats-Unis
Piratage des serveurs de Sony Pictures aux Etats-Unis. Alain Bensoussan, avocat spécialisé en sécurité informatique et en intelligence économique répondait aux questions de Wendy Bouchard et des auditeurs sur Europe1. La Maison Blanche parle d’une grave affaire de sécurité nationale. Sony a décidé de ne pas sortir son film « The interview », une comédie sur deux agents de la CIA qui ont pour mission d’assassiner le dictateur Nord Coréen après avoir reçu des menaces d’attentat via un message anonyme. C’est une première. Europe Midi : Pourquoi La Maison Blanche est-elle si alarmiste alors qu’il ne s’agit pas à proprement parler de piratage de données gouvernementales ? AB : « ce sont des données sensibles d’une entreprise à forte visibilité et avec cette affaire, on voit apparaître une nouvelle forme de guerre d’un Etat contre une entreprise privée mondialement connue. De telles entreprises orientées vers un marché de secteur privé ne sont pas capables de lutter contre des forces aussi importantes que sont des forces nationales numériques« . Europe Midi : On parle de Sony, mais est-ce que toutes les entreprises y compris les entreprises françaises sont menacées et sont régulièrement soumises à ce type d’attaque informatique ? AB : « Pour ce type d’attaque effectivement, il y a très peu d’entreprises françaises qui sont capables de résister d’abord parce-qu’elles ne disposent pas d’un niveau de protection du type de ceux mis en place pour les centrales nucléaires. Pourquoi des entreprises de marché qui ont des clients notamment dans les média, mettraient-elles un tel niveau de sécurité contre ce type d’attaque totalement disproportionné ? Elles ne sont pas du tout préparées à faire face à de tels risques« . Europe Midi : Quels sont les secteurs d’activité en France le plus touchés par le piratage ? AB : « Ce sont tous les secteurs où il a des possibilités d’obtenir de l’argent extrêmement rapidement, à travers des atteintes à la vie privée par le piratage des messageries, des détournements de fonds par le phishing. De manière générale, l’obtention de produits sans argent est une délinquance qui se généralise. Ce phénomène s’explique tout simplement parce qu’il est très facile aujourd’hui de se procurer sur le net des outils d’attaque, ces formes de virus sont autant de kalachnikov « binaires », très faciles à utiliser et à la portée de n’importe quel apprenti pirate digital qui peut se transformer en James bond de l’informatique« . Europe Midi : On parle de délinquance d’Etat, mais ce ne sont pas les Etats qui s’espionnent. Ils recrutent des pirates informatiques (hackers) pour attaquer des entreprises à capital stratégique. AB : « La plupart des Etats disposent d’une « cyberdéfense », c’est-à-dire d’armées numériques de très haut niveau. Personne ne peut ignorer les attaques par virus informatique et la menace s’aggrave chaque jour« . Europe Midi : On a besoin de mieux comprendre comment s’armer. Sony a reculé face aux pirates informatique, est-ce la porte ouverte au chantage médiatique ? AB : « Ce sont tous les actifs de Sony qui sont en jeu mais il y a aussi les dommages collatéraux et notamment tous les accords que Sony a pu signer avec d’autres entreprises qui sont susceptibles d’être mis à la disposition de tous. On peut comprendre que Sony ait préféré reculer dans un premier temps« . Europe Midi : Faut-il abandonner nos ordinateurs et nos connexions à internet en dépit des antivirus ? AB : « Les innovations technologiques ont toujours été accompagnées de délinquance. Cela doit entraîner une triple réponse, d’abord pédagogique pour que les utilisateurs cessent d’être négligents sur la sécurité (par exemple, avoir des mots de passe supérieur à 8 caractères avec de l’alpha numérique et des caractères spéciaux). Il faut aussi amener les entreprises à augmenter leur niveau de sécurité et enfin, changer l’arsenal répressif français. Les peines de prison sont de 3 ans et ont été pensées en 1988 sous la loi Godfrain. Aujourd’hui, compte-tenu de la généralisation de ce type de délinquance, il faut sans doute multiplier les peines par 3 ou par 4 afin que le seuil soit plus dissuasif« . Europe Midi : Ce qui se passe avec Sony est très alarmant car cette attaque aurait passée 90% des défenses numériques du gouvernement. Ce qui veut dire que que l’on a beau avoir un système de sécurité en béton, il y aura toujours un pirate qui trouvera la faille. C’est à l’évidence ce qui s’est produit ici. AB : « Ce qui compte c’est le degré de confiance d’une économie numérique comme la notre. Il faut certes augmenter le niveau de protection, mais contre une attaque de type « cyber guerre », la solution ne peut venir du marché. Dans l’affaire Sony, c’est à l’Etat américain d’apporter une réponse. Par contre, les entreprises doivent néanmoins augmenter leur niveau de sécurité parce que derrière les informations moins importantes que celles de Sony, il y a notre intimité et notre vie privée qui doit être assurée« . (…) Le Journal de Wendy Bouchard sur Europe1, Europe Midi en duplex depuis La Roche sur Yon, le 19-12-2004 (Ecoutez l’émission à 38:00 > 45:30).
USB : impact des failles des sécurité pour l’entreprise
USB. Katharina Berbett précise, pour Stratégie internet, la stratégie de protection juridique à adopter
Actualités, Droits des personnes, Informatique et libertés
Faille de sécurité : avertissement public de la Cnil
Faille de sécurité. La société DHL Express France vient de faire l’objet d’un avertissement public prononcé par la formation restreinte de la Cnil, le 12 juin dernier, sur deux manquements importants à la loi Informatique, fichiers et libertés.
La sécurité de l’internet des objets au cœur de son développement
L’internet des objets, c’est « l’objet le plus usuel (pour ne pas dire « bête») qui deviendrait intelligent… l’objet le plus anodin
La réforme des données personnelles : avis d’expert
La réforme des données personnelles abordée par Maître Bensoussan interviewé par Sébastien
Failles de sécurité et réforme des données personnelles
Failles de sécurité est le troisième thème abordé par Maître Bensoussan lors de son interview par Sébastien David et Aurélie
Juristendance Informatique et libertés Septembre-octobre 2013
L’édito de la Lettre juristendance Informatique et libertés est consacré à la nouvelle téléprocédure mise en oeuvre par la Cnil pour la notification des violations de données par les fournisseurs de communications électroniques.
Cnil : Procédure en ligne de notification des violations de données
La Cnil a créé sa procédure en ligne de notification des violations de données personnelles le 23 août 2013 (1).
Les nouveaux risques TIC : quelle assurabilité ?
Petit-déjeuner nouveaux risques TIC et assurabilité, du 19 juin 2013 – Jean-François Forgeron, directeur du pôle Informatique &
Projet de rapport sur la protection des données personnelles en Europe
Ce début d’année est l’occasion de la publication du projet de rapport de Jan Philipp Albrecht, rapporteur à la Commission Libertés civiles,
Les failles de sécurité : quel régime juridique ?
Maître Alain Bensoussan, dans son rendez-vous bimestriel accordé à MyDSI-Tv présente le droit des failles de sécurité.
Comment faire face à l’augmentation des contrôles Cnil ?
Les contrôles Cnil sont en augmentation. En témoignent les chiffres phares qui ont marqués l’année 2011 :