Recevez chaque jour toute l'actualité du numérique

x

Heartbleed : les sites français frileux dans leur communication

De nombreux sites français sont touchés par la faille de sécurité Heartbleed. Mais, comme le souligne le site Next INpact, faute d’un cadre règlementaire et d’une pression suffisante de la Commission nationale de l'informatique et des libertés, ils sont rares à avoir informé officiellement leurs clients des risques de piratage de leurs données.
Twitter Facebook Linkedin Flipboard Email
×

Heartbleed : les sites français frileux dans leur communication
Heartbleed : les sites français frileux dans leur communication © Tor Hakon - Flickr - C.C.

Depuis la découverte du bug Heartbleed le 8 avril, le web est en ébullition : des informaticiens de l’entreprise Codemonomicon ont révélé l’une des failles de sécurité les plus sérieuses de ces dernières années, dans la bibliothèque OpenSSL. Ce système est très utilisé pour assurer le cryptage des communications sur Internet.

Les informations en temps normal chiffrées sont accessibles aux pirates informatiques à cause de ce bug. Plus de 500 000 certificats de sécurité sont concernés, et l'accès aux données est total en cas d'attaque. Près des deux tiers du web utilise OpenSSL pour sécuriser son trafic.

Pas de communication officielle

Le site Mashable a publié une liste des géants du net américains touchés par la faille de sécurité, reprise par de nombreux médias. Mais Facebook, Instagram, Pinterest et consorts ne sont pas les seuls à avoir été affectés par Heartbleed : des applications cloud utilisées par les entreprises pour stocker leurs données, des sites de vente en ligne mais aussi ceux de plusieurs établissements bancaires sont concernés.

En France, les sociétés concernées par le bug n’ont que très rarement communiqué sur le sujet avec leur clientèle, souligne le site Next INpact. Darty, par exemple, va envoyer un mail à ses clients potentiellement touchés, pour les prévenir que leurs données ont pu être interceptées par des pirates et leur conseiller de modifier leur mot de passe. Certaines compagnies répondent au cas par cas aux internautes sur les réseaux sociaux, mais ne communiquent pas de manière globale, avec une alerte sur leur site par exemple. Pour savoir si l'un des sites que vous utilisez régulièrement a été touché par Heartbleed, tapez son adresse sur filippo.io.

Vide juridique

Ce silence généralisé a une explication : dans l’Hexagone, seuls les opérateurs téléphoniques et les fournisseurs d’accès à Internet doivent communiquer en cas de fuites de données. Selon la Commission nationale de l'informatique et des libertés (Cnil) : "L'obligation de notifier à la CNIL les violations de données à caractère personnel concerne uniquement les fournisseurs de services de communications électroniques au public, tels que définis par l'article L. 33-1 du code des postes et des communications électroniques." Rien donc sur les services en ligne, qui profitent de ce vide juridique. L’institution n’a pas communiqué sur Heartbleed de manière officielle depuis le 8 avril.

Au Canada et aux Etats-Unis, poursuit Next INpact, les pouvoirs publics se sont mobilisés : le Conseil du trésor canadien a annoncé la fermeture de tous les systèmes impactés par le bug qui n’avait pas appliqué la procédure de sécurité. De son côté, la réserve Fédérale américaine demande à ses banques de se mobiliser le plus rapidement possible pour régler le problème.

Lélia de Matharel

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media