mercredi 8 décembre 2010

Où se trouvent les cybercriminels?....

Vous ne laisseriez pas votre portefeuille ou votre carte de crédit Black sans surveillance, alors pourquoi le feriez-vous avec votre clé USB, vos mots de passe ou vos bases de données ?
Au XXI e siècle, plus personne n'a besoin d’une arme pour soutirer de l’argent à un tiers, ni de cambrioler une entreprise pour se procurer des documents importants.

Citons l'exemple de l'affaire TATI vs Kitetoa.com (blog constitué d'un groupe de personnes, pour la plupart salariés de grandes enseignes qui, à leurs heures perdues utilisent leur savoir-faire informatique pour dénoncer les failles de sécurité dans les systèmes).
Grâce à un défaut de paramétrage, un de leur journaliste a donc réussi à entrer dans une des bases de données clients confidentielles et surtout non protégée de la société TATI sur le site Tati.fr.
En prouvant qu'à partir d'un simple nom et de quelques données personnelles l'on pouvait établir une fiche d'identité quasi complète d'une personne, ce même journaliste a permis d'informer TATI sur les risques liés au manque d'infrastructures de sécurité sur les sites et a donc dénoncé cette faille.
TATI, resté inerte face aux multiples mises en garde envoyées par le journaliste, a finalement réagit en assignant le webmaster de Kitetoa.com en justice en brandissant la loi Godfrain (1988)*.
Ce dernier a contre-attaqué en se référant à la loi de 1978 relative à l'informatique, aux fichiers et aux libertés.
Au terme de deux années de procédure qui ont cherché à établir la responsabilité ou non des acteurs, le tribunal a finalement relaxé le webmaster de Kitetoa.com, lui donnant raison, sachant que c'est bien le responsable du traitement des données qui est tenu de protéger ces mêmes données.
Cet exemple, pourtant daté de quelques années, prouve aujourd'hui qu'il est encore difficile et compliqué de démasquer les fautifs. Les "méchants" ne sont donc pas toujours ceux que l'on croit.... et au final, ce sont bien les sites qui sont responsables de la protection de leurs internautes.

Cette même protection avance relativement lentement puisque ce n'est que depuis juin 2010 que l'on peut adresser à la CNIL une plainte en ligne si le droit d’accès à nos données personnelles n’est pas respecté. Il est également possible d'utiliser ce service si l'on n’arrive pas à supprimer des données personnelles diffusées sur internet.


Sans forcément vouloir devenir disciple du FUD** ("Fear, Uncertainty and Doubt"), un peu de vigilance n’a jamais fait de mal....

Alain Lamassoure, député européen précise qu'une législation est en cours "pour améliorer les degrés d’harmonisation entre Etats, avec cette difficulté que chacun a déjà beaucoup légiféré sur ce sujet et qu’il faut prendre en compte les différentes cultures nationales".
Aujourd'hui, la cybercriminalité pèserait environ 750 milliards d’euros....


* La loi Godfrain définit pénalement les infractions concernant la tentative d'accès, le maintient, l'entrave, la destruction dans le domaine de l'informatique.

Sources:

Aucun commentaire: