Double intrusion chez Orange : le Gouvernement répond à un sénateur

Par , publié le .

Technologie

Suite au piratage d'Orange du mois de février, le sénateur Roland Povinelli avait interrogé le gouvernementafin d'avoirsa position sur« ces phénomènes nouveaux qui inquiètent les Français ». Le secrétariatd'État auprès du ministère de l'économie, du redressement productif et du numérique, chargé du numérique vientd'apporter des éléments de réponse.

Suite au piratage d'Orange du mois de février, le sénateur Roland Povinelli avait interrogé le gouvernementafin d'avoirsa position sur« ces phénomènes nouveaux qui inquiètent les Français ». Le secrétariatd'État auprès du ministère de l'économie, du redressement productif et du numérique, chargé du numérique vientd'apporter des éléments de réponse.Le 16 janvier,Orange se faisait pirater une partie des données de ses clients. Suite à « une intrusion informatique », la société nous indiquait en effetque des données personnelles comme les noms, prénoms, adresses et e-mails de près de 3 % de ses clients avaient été dérobés. Une plainte avait évidemmentété déposée. Un sénateur s'était penchésur la question et demandait au gouvernement de préciser sa position concernant« ces phénomènes nouveaux qui inquiètent les Français ». En mai dernier, suite à une seconde intrusion, des données personnelles étaient à nouveau récupérées.Plus de cinq mois après, le secrétariat d'État, auprès du ministère de l'économie, du redressement productif et du numérique, chargé du numérique apporte saréponse… en demi-teinte. Il commence en effet par préciser que« les pouvoirs publics mènent depuis plusieurs années une politique active de lutte contre les envois de courriels indésirables, autrement dénommés « spams » » et rappelle que« le site www.surfez-intelligent.gouv.fr informe desrègles de bonne conduite à suivre lors de l'utilisation de l'internet».Le secrétariatd'Etat ajoute ensuite que,« sous l'impulsion du gouvernement et en concertation avec les professionnels, une plate-forme nationale, Signal Spam, a été lancée en mai 2007. Ce dispositif permet le signalement des courriels indésirables en vue du traitement des plaintes dans le cadre d'une étroite coopération entre les administrations concernées et les opérateurs économiques. En outre, l'action de l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) inclut notamment la lutte contre ces pratiques. Les particuliers peuvent signaler directement des agissements illicites via le site www.internet-signalement.gouv. fr. Concernant spécifiquement le phishing, le site www.phishing-initiative.coma mis en place une plateforme de signalement des sites frauduleux afin de lutter efficacement contre ceux-ci ».Après ces quelques généralités,on revient aucœur du sujet : le cas du piratage d'Orange.« Au cas particulier, la CNIL a réuni, le 3février2014, les opérateurs de communications électroniques pour leur rappeler leurs obligations en matière de violations de données personnelles. Comme prévu par les dispositions en vigueur, la violation de données personnelles intervenue chez Orange le 16janvier2014 a bien fait l'objet d'une notification à la CNIL dès le lendemain et Orange a également procédé à l'information des personnes concernées. Ce dossier est en cours d'instruction par les services de la CNIL. Par ailleurs, suite au dépôt de plainte d'Orange, l'enquête sur ce piratage a été confiée à la direction centrale du renseignement intérieur (DCRI) ». Ce dernier point nous avait d'ailleurs été confirmé parLaurent Benatar, directeur technique d'Orange. Rien n'est par contre précisé concernant l'avancement dutraitement de la plainte et si les coupablesavaientété ou non identifiés.Le secrétariatd'Etat évoque ensuite le second piratage :« Un deuxième piratage concernant 1,3million de clients d'Orange a été annoncé le 6mai2014. Les personnes concernées ont été informées par courriel de cette intrusion et des conseillers de l'opérateur ont été spécialement formés pour répondre à leurs questions. De même que la première, cette deuxième intrusion a été notifiée à la CNIL conformément aux dispositions de l'article38 de l'ordonnance n°2011-1012 du 24août2011 relative aux communications électroniques. Cet article, qui ajoute un article34bis à la loi 78-17 du 6janvier1978 relative à l'informatique, aux fichiers et aux libertés, impose aux fournisseurs de services de communications électroniques d'avertir sans délais la CNIL en cas de violation de données à caractère personnel et d'informer les personnes concernées ».Le gouvernement indique donc quelors de ses deux piratages, Orange s'est conformée à ses obligations en informant la CNIL dans les temps, puis en contactant ses clients. Il termine en indiquant que« de son côté, la CNIL entend insister de nouveau auprès des opérateurs et des acteurs économiques sur la nécessité d'être proactifs en termes de sécurité des données personnelles […]».Comme nous avions eu l'occasion de l'évoquer lors de la faille Heartbleed,l'article 34 bisde la loi 78-17 du 6 janvier 1978 modifiée ne s'impose qu'aux FAIainsi qu'auxopérateurs de téléphonie mobile, les autres sociétés n'étant pas soumises à cette obligation d'information. Sile G29 se penche sur la question au niveau européen, rien n'a encore été décidé pour le moment.On regrettera d'ailleurs que les services de l'État, bien qu'ils« demeurent très attentifs au maintien de cette mobilisation et veillent à ce que les mesures nécessaires soientprises pour garantir une protection économique efficace des utilisateurs de l'internet», n'aient d'ailleurs pas décidé d'élargir cette obligation de notification, ce qui aurait été bien utile dans le cas d'une faille aussi généralisée que l'a été Heartbleed, de nombreux services n'ayant jamais communiqué sur le sujet auprès de leurs clients, malgré la fuite potentielle de données très sensibles.Concernant la formulation de la questiondeM. Roland Povinelli, on s'étonne tout de même qu'il parle de« phénomènes nouveaux » étant donné que les intrusions et autres cyberattaques ne le sont pas vraiment, même si leur fréquence et l'impact qu'elles ont s'amplifie. On note d'ailleurs qu'en France, c'est notamment avec l'obligation de communication auprès des clients faite par les FAI que ces problèmes gagnent en visibilité et en retentissement médiatique. Si elle devait être généralisée, le phénomène devrait d'ailleurs s'amplifier, et ce ne serait sans doute pas un mal, forçant au passage les services à mieux sécuriser leurs données afin d'éviter de faire les gros titres.

O commentaire

Laisser un commentaire

Votre email ne sera pas publié. Champ obligatoire (*)