Heartbleed : mise au point officielle de la CNIL (enfin) !

Si le flou artistique était plus que de rigueur sur la toile depuis le 7 Avril, date effective officielle de la faille Heartbleed, une vulnérabilité très dangereuse au sein d'OpenSSL et officieusement active depuis au moins 3 ans, voici que la CNIL sort de son mur de silence en publiant, hier, un communiqué officiel sur son site, faisant, ainsi, une mise au point sur ce que doivent faire administrateurs réseaux et utilisateurs... Bref, juste, une mise au point !

CNIL_Heartbleed

En effet, dans son communiqué du 16 Avril, la CNIL explique, outre la petite histoire informative liée à Heartbleed, que les administrateurs doivent passer par 4 axes pour colmater la faille : mettre à jours les serveurs potentiellement vulnérables sous OpenSSL, révoquer les clés de sécurité et les certificats puis, mettre à nouveau à jour ces deux éléments et, enfin, informer l'utilisateur qu'il peut changer son mot de passe.

"La CNIL vérifiera les mises à jour et correctifs de sécurité dans le cadre des contrôles qu’elle opère régulièrement auprès des responsables de traitement. Elle sera en mesure de procéder à une série de contrôles visant spécifiquement les sites les plus exposés qui ne se seraient pas mis en conformité", est-il ainsi précisé sur le communiqué... En clair, la Commission peut jouer les inspecteurs pour vérifier que le tâche demandée a bien été effectuée.

 De plus, elle fait un rappel à l'ordre aux administrateurs peu "éveillés" en rappelant leur obligation de s'informer sur les outils de sécurités réseaux. Voilà qui est écrit et dit... Pas tapper !

CNIL_internet

En aparté, le G29 (Groupe de travail Article 29 sur la protection des données dont fait partie la CNIL au niveau Européen), sort aussi de son silence, concernant l'affaire PRISM et ses multiples rebondissements (confère >news<), en rendant des recommandations faisant suite à une enquête demandée, à l'époque, à Bruxelles (Commission Europeenne), en Août 2013, dont voici quelques lignes extraites du rapport :

 

  • "Les individus doivent être informés des conséquences de leur utilisation de services de communication en ligne ainsi que de la façon de mieux se protéger" ;
  • "La façon dont les services de renseignement exploitent les données relatives à nos communications quotidiennes ainsi que le contenu de ces communications souligne qu’il est nécessaire de fixer des limites à cette surveillance" ;
  • "Les programmes de surveillance secrets, massifs et systématiques ne sont pas compatibles avec nos lois fondamentales et ne peuvent être justifiés par la lutte contre le terrorisme ou d'autres menaces importantes à la sécurité nationale".

 

 Le G29 annonce, en finalité, concernant une quelconque collecte de données, qu'il se réserve le droit de surveiller des programmes de surveillances, sans mauvais jeux de mots, voire de suspendre le programme de la NSA en question, au titre du respect de la vie privée et familiale, art. 8 de la Convention européenne des droits de l'homme (CEDH), organisme qui sera en charge de prendre le dossier si le G29 estime que violation de la NSA il y a, en ce sens.

Enfin, le G29 veut étendre ces mesures via des lois concrètes au niveau international, pays Européens et non-Européens, afin que la règle du jeu soit la même mais, surtout, pour protéger au mieux les droits du citoyen lambda, de plus en plus négligés avec des pratiques aussi autocratiques appliquées par la NSA, entre-autres...

 

PRISM_espionnage

Ainsi, la CNIL a fait, cette semaine, un double coup d'éclat, certes un peu moins vif que s'il était apparu un peu plus tôt, avec son communiqué (rappel à l'ordre, selon les points de vues) informatif lié à Heartbleed mais, aussi, via le compte rendu d'enquête du G29 avec, là aussi, un peu de retard depuis la demande d'enquête à Bruxelles en Août 2013, qui préconise beaucoup plus de transparence en terme de collectes de données, suite à l'affaire PRISM... Une double mise au point où le doute n'est plus : les organismes tels que la NSA vont devoir s'aligner, du moins, officiellement, car dans la réalité, de tels organismes auront toujours un soutien pour passer au travers de ces lois "gardes-fous" qui rassureront l'opinion publique ; Gageons que cela ne soit pas le cas... A suivre !

 

Source : PCinpact.com




  • Mots-clef: , , , ,