Cet article, probablement le dernier de notre petite sĂ©rie sur le RGPD Ă paraĂźtre avant le 25 mai, va traiter dâun point essentiel : les contrĂŽles de lâautoritĂ© de protection des donnĂ©es (DPA, pour Data Protection Authority ), chez nous : la CNIL (sauf en cas de contrĂŽle transfrontalier, avec une autoritĂ© chef-de-file diffĂ©rente, Ă©videmment.
On va donc voir comment ça se passe, quelle attitude adopter, et surtout quels sont les manquements les plus souvent constatés.
Un certain nombre dâentre vous connaissent un peu mon parcours : ex-consultant spĂ©cialisĂ© dans les audits SSI, formateur pour DPOs en devenir, aujourdâhui RSSI, mais surtout, ex-contrĂŽleur de la CNIL. En quelques annĂ©es, jâai vu des systĂšmes dâinformation dans tous les secteurs dâactivitĂ©, de toutes les tailles, avec toutes les technologies du monde, et pourtant⊠les mĂȘmes erreurs. Celles qui leur ont valu au mieux une clĂŽture avec observations (un genre de rappel Ă la loi, si on veut), au pire une sanction publique.
Dans un souci de respect des organismes contrĂŽlĂ©s (quand bien mĂȘme la mise en demeure ou la sanction a Ă©tĂ© rendue publique, elle sera Ă terme anonymisĂ©e), je nâassocierai aucun manquement Ă la loi « Informatique et LibertĂ©s » Ă telle ou telle entreprise. Et par respect pour certaines rĂšgles propres Ă la CNIL, quand bien mĂȘme jâen dĂ©sapprouve une partie, je ne mentionnerai pas avoir participĂ© ou non Ă telle ou telle mission de contrĂŽle.
IdĂ©e reçue n°42 : les contrĂŽleurs sont des ĂȘtres abjects
On va casser un mythe : les contrĂŽleurs de la CNIL ne sont pas lĂ pour tout retourner, avec en ligne de mire une sanction publique pour faire les pieds de la boĂźte contrĂŽlĂ©e. Ils passent la journĂ©e avec vous (en atomisant votre agenda de la journĂ©e au passage, certes), mais sans « chercher » la sanction. LâidĂ©e dâun contrĂŽle, selon le contexte, câest :
de faire un état des lieux de tel ou tel traitement de données à caractÚre personnel ;
dâobserver, au travers de plusieurs contrĂŽles dans des entreprises diffĂ©rentes, les pratiques dâun secteur dâactivitĂ© peut-ĂȘtre nouveau (comme ça a pu ĂȘtre le cas avec les services de livraison de bouffe commandĂ©e dans des restos), pour Ă©ventuellement sanctionner, mais surtout Ă©diter des guides sectoriels de conformitĂ©, et Ă©ventuellement faire Ă©voluer la doctrine de la CNIL ;
de traiter une plainteâŠ
A propos des plaintes, sachez que les Ă©quipes de contrĂŽle abordent la chose en toute impartialitĂ©. Ce nâest pas forcĂ©ment lâaccusĂ© qui est en tort. Oui, câest souvent un salariĂ© qui dĂ©pose une plainte contre son patron (jâai passĂ© pas mal de temps sur des contrĂŽles cĂŽtĂ© RH), mais puisquâen pratique on ne connaĂźt pas le contexte du litige (la plainte de la CNIL nâest souvent pas le cĆur du problĂšme, plutĂŽt un moyen dâintensifier la pression)⊠Retenez malgrĂ© tout quâenviron 50% des plaintes donnant lieu Ă contrĂŽle dans un contexte « salariĂ©/patron » sont juste infondĂ©es : le souci est autre. Jâai souvenir dâun chef de PME qui mâa accueilli, las, mâexpliquant quâil Ă©tait en conflit avec une salariĂ©e, et juste pas surpris de me voir : la salariĂ©e, licenciĂ©e pour fautes, a dĂ©posĂ© plainte auprĂšs de la Police, lui valant un dĂ©placement en Alsace alors que le siĂšge est en Ăle de France. La semaine suivante, il a reçu la visite de lâInspection du Travail, de la Police, de lâURSSAF, des ImpĂŽts⊠et quelques jours aprĂšs, de la CNIL. Et une convocation aux prudâhommes. La salariĂ©e avait saisi toutes les autoritĂ©s de contrĂŽles quâelle connaissait, simplement pour lui mettre la pression et le faire suer. Ce contrĂŽle, dâun point de vue CNIL, nâa rien donnĂ© : aucun Ă©lĂ©ment tangible nâa pu ĂȘtre collectĂ©, du moins en restant dans nos missions, les complĂ©ments ayant Ă©tĂ© effectuĂ©s par la Police (notamment la recherche dâun disque dur, objet de la plainte).
Bref : tout ça pour dire, les contrĂŽleurs sont adorables, Ă condition quâon ne leur vole pas dans les plumes.
A Ă©viter : casser les noix du contrĂŽleur
Gonfler le contrĂŽleur, câest le meilleur moyen que la journĂ©e se passe mal pour le contrĂŽlĂ©. Trois courts exemples de trucs Ă ne pas faire :
faire poireauter la dĂ©lĂ©gation Ă lâaccueil pendant 3 plombes. Câest Ă©nervant, et de toutes façons elle ne partira pas. Au mieux ça met des doutes sur votre sincĂ©ritĂ©, et sur le fait que vous soyez potentiellement en train de cacher des dossiers sous le tapis, de supprimer des donnĂ©es (on arrive gĂ©nĂ©ralement Ă les avoir quand mĂȘme), ou de briefer vos collaborateurs pour mentir (câest mal). Au pire, la dĂ©lĂ©gation en aura ras-le-bol et va dresser un PV dâopposition : si vous ne voulez pas nous recevoir, câest que vous refusez le contrĂŽle, et ça ne fonctionne pas comme ça. Rappelons que la non-coopĂ©ration avec la CNIL vaut rĂ©guliĂšrement des sanctions, et que le contrĂŽle sera fait tĂŽt ou tard, dans la douleur.
ĂȘtre agressif lors de lâaccueil. Quand une dĂ©lĂ©gation de la CNIL se prĂ©sente, vous pouvez lĂ©gitimement avoir des doutes : est-ce une vraie dĂ©lĂ©gation ? Pour ça, nous prĂ©sentons un ordre de mission qui indique les noms des agents habilitĂ©s Ă procĂ©der Ă ce contrĂŽle prĂ©cis. Et une dĂ©cision de la PrĂ©sidente. Et nos cartes professionnelles, pour les agents qui en ont une, sur le mĂȘme modĂšle que les cartes de Police (Marianne, bandeau tricolore, tout ça). Sinon, nous avons un badge « gĂ©nĂ©rique », et surtout une copie du JORF qui liste tous les agents habilitĂ©s par la CNIL Ă prendre part Ă une mission de contrĂŽle. Informations qui peuvent ĂȘtre confirmĂ©es dâun simple coup de tĂ©lĂ©phone Ă la CNIL, ou sur son site web .
insulter, frapper les agents de la CNIL. Effacez ce sourire, câest une rĂ©alitĂ©. Je ne citerai quâun cas oĂč des agents, insultĂ©s, ont Ă©tĂ© « raccompagnĂ©s » de force Ă la porte, parce que le gĂ©rant refusait le contrĂŽle (plaintes multiples au sujet de camĂ©ras de surveillance dans des⊠vestiaires). Ben, ça a mal fini : la dĂ©lĂ©gation est revenue, plus nombreuse, accompagnĂ©e du chef de service. Sur 2 ou 3 des sites de lâentreprise simultanĂ©, avec une ordonnance du Juge des LibertĂ©s et de la DĂ©tention qui fait que lâorganisme ne dispose plus du droit dâopposition (on va en parler juste aprĂšs). Et surtout, dommage pour le gĂ©rant qui ne voulait pas de la CNIL « Ă cause de lâimage que ça renvoie Ă ses clients », devant son attitude violente, les dĂ©lĂ©gations sont venues accompagnĂ©es dâĂ©quipages de policiers, en uniforme. Niveau discrĂ©tion, câest pas gagnĂ© pour lui.
Lâopposition : un droit encadrĂ©
Jâai mentionnĂ© quelques fois le terme « opposition ». Le contrĂŽlĂ© a effectivement ce droit, mais prĂ©cisons de quoi il retourne : il peut sâopposer Ă la prĂ©sence des agents de la CNIL dans ses locaux, mais pas au contrĂŽle. Ce qui se traduit quasi-systĂ©matiquement par une seconde visite, avec une ordonnance du juge des libertĂ©s et de la dĂ©tention du TGI local, et Ă©ventuellement les forces de lâordre, qui sâassureront que la dĂ©lĂ©gation peut bien effectuer ses constatations. Selon lâurgence, lâordonnance peut arriver *trĂšs* vite, donc ne comptez pas forcĂ©ment sur un rĂ©pit dâune semaine⊠Sachez quâen tout Ă©tat de cause, le Procureur de la RĂ©publique territorialement compĂ©tent a Ă©tĂ© averti de la mission de contrĂŽle.
Si, malgrĂ© lâordonnance du juge, vous dĂ©cidez dâempĂȘcher le contrĂŽle par quelque moyen que ce soit, notamment en dissimulant des documents, en les dĂ©truisant⊠ou simplement quâil vous prend la mauvaise idĂ©e de faire votre possible pour mettre des bĂątons dans les roues de la CNIL, on passe alors au dĂ©lit dâentrave , puni dâun an dâemprisonnement et de 15 000⏠dâamende.
Opposition prĂ©alable ou pas, le dĂ©lit dâentrave Ă lâaction de la CNIL peut ĂȘtre constituĂ©. Vous pouvez trĂšs bien laisser le contrĂŽle se faire (lorsque la dĂ©lĂ©gation mentionne lâopposition et lâordonnance du JLD, la plupart des organismes font machine arriĂšre) et volontairement cacher des informations, des fichiers, dĂ©truire des preuves⊠Je me souviens notamment dâun responsable de traitement qui avait fait attendre la dĂ©lĂ©gation, laquelle avait fini par demander Ă une autre personne de lâentreprise de lâemmener lĂ oĂč Ă©tait pilotĂ© le systĂšme de vidĂ©osurveillance de la sociĂ©té⊠pour constater que le gĂ©rant avait profitĂ© de lâattente pour arracher lâenregistreur et partir avec, en laissant tous les cĂąbles pendants, lâĂ©cran en place⊠et prĂ©tendre que non, il nây a jamais eu de dispositif vidĂ©o !
En rĂ©sumĂ©, et pour le bien de tout le monde (les contrĂŽleurs sont des humains sensibles aussi, et personne nâaime ĂȘtre « brutalisĂ© » mĂȘme verbalement), faites preuve Ă lâĂ©gard des contrĂŽleurs du mĂȘme respect quâils ont pour vous. Et sâils refusent un « cadeau » en fin de journĂ©e, sâils dĂ©clinent votre invitation Ă dĂ©jeuner le midi, ce nâest pas par dĂ©fiance, câest simplement parce quâils ont des rĂšgles de dĂ©ontologie Ă respecter, et le besoin de discuter seuls le midi de ce qui a Ă©tĂ© vu le matin, des constatations Ă effectuer lâaprĂšs-midi⊠ou simplement envie de dĂ©compresser et parler dâautre chose !
A propos du secret professionnel
Alors celui-là ⊠Câest le joker de tellement dâentreprises ! Aux questions de la dĂ©lĂ©gation, vient souvent la rĂ©ponse « je ne peux pas rĂ©pondre, câest couvert par le secret des affaires », « je ne peux pas vous communiquer ce document, secret professionnel oblige »âŠ
Sachez que cet argument nâest pas opposable (Ă lui seul) Ă une demande de communication dâinformations/documents Ă©manant de la dĂ©lĂ©gation. Il appartient alors Ă lâorganisme contrĂŽlĂ© de se justifier, de prĂ©ciser quelles informations sont couvertes, et surtout le fondement lĂ©gal sur lequel elle sâappuie. Pas de fondement ? Pas de secret.
Donc voilĂ : en gros, la dĂ©lĂ©gation parle Ă tout le monde, demande toute information dont elle a besoin, accĂšde Ă tout local professionnel, et câest comme ça.
Et pour faire bonne mesure⊠elle ne prĂ©vient pas forcĂ©ment de sa venue. Les donnĂ©es numĂ©riques sont par nature volatile, je ne vous lâapprends pas. PrĂ©venir 3 jours avant le contrĂŽle, câest laisser le temps de faire le mĂ©nage. Un peu.
Notez quâen cas dâurgence, la CNIL peut tout Ă fait saisir le JLD et obtenir une ordonnance prĂ©alablement au premier contrĂŽle : plus dâopposition possible, dans ce cas.
Principaux manquements constatés
Enfin la partie qui vous intĂ©resse ! đ
Au cours de mes diffĂ©rentes missions, jâai pu relever un certain nombre de manquements, ayant donnĂ© lieu Ă pas mal de mises en demeures et/ou sanctions. Et Ă©tonnamment, ce nâest pas forcĂ©ment pour des usages dĂ©tournĂ©s, malveillants⊠mais par contre reviennent trĂšs souvent des manquements Ă la sĂ©curitĂ© (article 34 de la Loi de 1978, repris dans lâarticle 32 du RGPD, avec globalement les mĂȘmes implications et attentes). Faisons le tour ensemble.
La liste des points que nous allons passer en revue est assez simple :
mises Ă jour logicielles ;
stockage et robustesse des mots de passe ;
dépÎt de cookies/traceurs ;
identifiants/mots de passe par défaut ;
fuite de données ;
configuration SSL/TLS ;
mots de passe des salariĂ©s (robustesse, enregistrement dans le navigateurâŠ) et prestataires ;
caméras : implantation/information/masques ;
sécurité des postes nomades et ordiphones
Mises Ă jour logicielles
Votre amour de Microsoft Windows XP ou de RedHat 3 risque de vous causer du tracas, et surtout une mise en demeure de la commission de migrer vos postes de travail et serveurs vers des systĂšmes encore maintenus par lâĂ©diteur, quâil sâagisse du systĂšme dâexploitation, des logiciels serveurs (qui utilise encore Apache 2.2 + PHP 5.4 ?) ou de middlewares divers et variĂ©s. Plus maintenu, ça veut dire plus de correctifs de sĂ©curitĂ©, or on dĂ©couvre des vulnĂ©rabilitĂ©s rĂ©guliĂšrement, qui exposent dâautant vos utilisateurs Ă une perte de vie privĂ©e en cas de vol de leurs donnĂ©es.
Stockage et robustesse des mots de passe
Nous sommes, lorsque jâĂ©cris ces lignes, en 2018. Eh bien, en 2018, il y a encore des dĂ©veloppeurs qui conçoivent des applications, des services web⊠qui stockent les mots de passe des utilisateurs en clair dans une base de donnĂ©es. Si si.
Et dâautres qui les « encryptent » en MD5. Pour rappel, MD5 est un algorithme de hachage et non de chiffrement.
Pour rappel, on ne stocke jamais un mot de passe en clair : on le sale, et on le hache. Avec un algorithme un peu robuste quand mĂȘme. SHA-256, câest bien.
Toujours à propos du mot de passe, bon, on constate du grand classique : trop court, trop simple, trop « kevin2004 ».
La CNIL a mis Ă jour dĂ©but 2017 sa « recommandation mots de passe « , qui nâa de recommandation que le nom politiquement correct. Câest sur cette base que sera jugĂ©e la conformitĂ© de votre application. Et ce ne sont pas 8 caractĂšres alphanumĂ©riques qui vont satisfaire la dĂ©lĂ©gation.
Il est assez curieux de constater que plus dâun an aprĂšs sa derniĂšre mise Ă jour, peu dâĂ©diteurs respectent ces lignes directricesâŠ
DĂ©pĂŽt de cookies et traceurs
RĂ©cemment, un des RSSI avec qui je travaillais mâa contactĂ©, mâexpliquant que la CNIL lâavait « alignĂ© » sur 2 sites web de la sociĂ©tĂ© (contrĂŽles en ligne). Notamment, sur le recueil du consentement avant dĂ©pĂŽt des cookies.
Faites une information simple et lisible, pas 850 petites lignes
On va donc rappeler des rĂšgles pourtant supra-basiques :
on demande le consentement *avant* le dépÎt, pas aprÚs. On ne dépose strictement aucun cookie non-technique avant le consentement du visiteur ;
lâinformation, bordel ! On explique quels cookies sont dĂ©posĂ©s, et pourquoi ! Quel besoin aussi vous avez de dĂ©poser 35 cookies tiersâŠ
le consentement doit ĂȘtre *valable* : câest une action positive. Jâinsiste ! « Poursuivre sa navigation » nâen est pas une, en particulier parce quâainsi vous conditionnez lâutilisation du service au dĂ©pĂŽt de pisteurs. Donc non, le petit bandeau en mode « si vous continuez votre visite, câest que vous acceptez les cookies », câest non, re-non, et au bĂ»cher.
vous devez fournir un moyen de refuser les cookies. Je dis bien, *vous*. Renvoyer lâutilisateur Ă une obscure page qui lui dit quâil nâa quâĂ configurer son navigateur pour refuser les cookies, câest niet, et pas conforme Ă ce quâattend la CNIL. Pourquoi ? (oui je vous sens tendus lĂ ) Ben, parce que dĂ©jĂ la plupart des gens ne savent pas le faire et ne voudront pas chercher. Ensuite, parce que le blocage via le navigateur, câest un bouton ON/OFF. Global. Pas simplement pour votre site, mais pour tous ceux que visite lâinternaute. Câest un peu facile. Je vous recommande lâexcellent tarteaucitron.js pour gĂ©rer ça comme des Ă©diteurs civilisĂ©s. Câest lui que vous pouvez voir sur le site de la CNIL.
internalisez ! Notamment lâanalytics. Matomo (ex-Piwik) est trĂšs bien pour la plupart des cas dâusage, et peut mĂȘme ĂȘtre configurĂ© proprement, vous dispensant alors du recueil de consentement pour son cookie. Câest sĂ»r que ça demande un poil plus de temps quâun snippet Google Ă balancer dans une source de page web, mais câest mieux pour tout le monde, et Google et ses potes se gavent bien assez par ailleurs.
Et ça, câest simplement pour le web.
Attendez-vous Ă©galement Ă la mĂȘme chose pour vos applications Android qui grouillent littĂ©ralement de traqueurs. On remerciera au passage lâassociation Exodus-Privacy pour son travail sur la question. Dâailleurs, vos applications figurent peut-ĂȘtre dĂ©jĂ dans la liste des applis analysĂ©es đ
Je vous encourage trĂšs fortement Ă utiliser Δxodus, dans la mesure oĂč la CNIL sây intĂ©resse de prĂšs . Si câest aussi votre cas, nâhĂ©sitez pas Ă nous rejoindre, Ă contribuer, Ă nous soutenir, peu importe la maniĂšre, il y a plein de choses Ă faire. Vous pouvez Ă©galement faire un don, si le cĆur vous en dit.
Identifiants et mots de passe par défaut
Allez, je vous raconte 2 histoires.
La premiĂšre : contrĂŽle du dispositif de vidĂ©osurveillance dâune moyenne surface. Ăvidemment, le poste qui gĂšre les camĂ©ras et lâenregistrement est Ă lâaccueil du magasin, Ă©cran visible des clients.Et la gĂ©rante est un peu paniquĂ©e : elle ne connaĂźt pas le mot de passe du logiciel dâenregistrement. Câest une solution connue, je lui demande la permission dâessayer le couple login/mot de passe par dĂ©faut. Banco. Je vous laisse mĂ©diter sur les consĂ©quences potentielles.
En fait non. Ménageons-nous. Les conséquences, les voici via la seconde histoire.
On prend maintenant un thĂ©Ăątre, comme il y en a dans toutes les villes. Avec de la vidĂ©osurveillance Ă©galement. La patronne me montre, assez fiĂšre, quâelle peut mĂȘme accĂ©der aux images en direct et enregistrements depuis son iPhone, via une appli dĂ©diĂ©e. Et le midi, jâai eu un doute. De retour au thĂ©Ăątre, test : je sors mon ordiphone, jâinstalle lâapplication depuis le Play Store, je lâouvre et entre comme cible le nom de domaine du site du thĂ©Ăątre. Tout le reste, câest de la configuration par dĂ©faut, prĂ©-rempli par lâappli : identifiant, mot de passe, port rĂ©seau⊠Et le miracle se produisit : accĂšs aux images. Extractions et effacements Ă portĂ©e. La madame comprend alors comment sâest passĂ© son cambriolage quelques semaines auparavant : les malfrats restaient dans les angles morts, et nâĂ©taient jamais visibles de face, au dĂ©but. Lâun dâeux avait son smartphone en main tout le long Pour la suite du cambriolage, câest bien simple : pas dâimages. Le systĂšme nâa rien enregistrĂ© pendant 20 minutes. Maintenant, lâexplication est lĂ : les images ont Ă©tĂ© effacĂ©es.
La madame, disons⊠relativement contrariée⊠appelle séance tenante son prestataire, le met sur haut-parleur, et lui explique la manipulation que je venais de faire.
Ma premiÚre insulte en contrÎle. Je venais de gagner mon badge de « fouille-merde », attribué par le monsieur presta.
Ces deux histoires pour vous dire que si il y a un mĂ©canisme dâauthentification, câest probablement pour une bonne raison. Laisser des identifiants par dĂ©faut, genre admin/admin, câest donner le bĂąton pour se faire allĂšgrement molester.
La dĂ©lĂ©gation nâest pas dupe. Quand on croise une authentification, on voit lâidentifiant, on compte les petites Ă©toiles pour avoir la longueur du mot de passe (on ne vous les demande jamais, bien entendu), et on vous demande de quoi il est constituĂ© (lettres, chiffres, majuscules/minusculesâŠ). Quand la rĂ©ponse câest « 5 caractĂšres, que des lettres » alors que lâidentifiant est « admin », pas besoin dâĂȘtre grand druide pour voir ce quâil se passe.
Fuites de données
Ouais, parce que la « violation de donnĂ©es » câest tellement nul comme terme⊠on avait eu un dĂ©bat en interne, mais comme ce sont les juristes qui tranchent (ça a clashĂ© plusieurs fois entre « informaticiens » et juristes parce quâils bricolent nos termes techniques jusquâĂ en dĂ©naturer le sens), « violation » ce sera. Câest dans lâair du temps, niveau rĂ©pertoire.
On ne compte plus les exemples de mises en demeure et sanctions relatives Ă des fuites. Et ne vous plaignez pas : la CNIL est gentille et se place « dans la peau dâun internaute bienveillant », et ne retient que des modes opĂ©ratoires accessibles sans compĂ©tences particuliĂšres. Pour le moment. Donc exit les injections SQL et ce genre de trucs rigolos : sâil en croise, lâauditeur peut Ă©ventuellement contacter le propriĂ©taire du site et lâinformer, au conditionnel, que potentiellement il serait envisageable que potentiellement son site soit tout trouĂ©. Cela mâest arrivĂ© une fois, et le RSSI ne mâavait pas cru. « On est sĂ©curisĂ© nous monsieur, je ne remets pas en question vos compĂ©tences, mais⊠». Puis je lui ai listĂ© les tables dans sa base de donnĂ©es. Il a changĂ© dâavis.
Donc, les violations. TrĂšs souvent, elles se matĂ©rialisent par une partie de lâURL quâon fait varier : un compteur dans le chemin, une variable GET qui ressemble Ă un identifiant⊠et on aspire les pages concernĂ©es, histoire dâavoir des Ă©lĂ©ments de volumĂ©trie.
Sans decâ, Ă quel moment vous vous dites « on va faire un site qui facilite le dĂ©pĂŽt de plainte et lâenvoi de courriers au Procâ, on va donc recueillir les dĂ©tails des infractions, les coordonnĂ©es du plaignant, de lâaccusĂ©, et tout ça sans crĂ©er de compte ou protĂ©ger le dossier pour quâil le complĂšte facilement plus tard si besoin » ?
Bah ouais, du coup, suffit de commencer la dĂ©marche, de faire varier lâidentifiant dans lâURL (un nombre, qui sâincrĂ©mente de 1 Ă chaque nouveau dossier)⊠et de constater quâon accĂšde Ă tous les dossiers de gens quâon ne connaĂźt pas.
Câest juste de la « nĂ©gligence caractĂ©risĂ©e » (semi-private joke, coucou Hadopi), et une sanction pour ça est donc mĂ©ritĂ©e. Nâen dĂ©plaise Ă un avocat qui avait plaidĂ© contre la publicitĂ© dâune sanction dans cette catĂ©gorie peu glorieuse, refusant quâon « mette son client au banc de lâInternet, qui nâoublie jamais, mĂȘme si Legifrance anonymise derriĂšre ». Surtout que dans certains cas, on parle de donnĂ©es sensibles, et de choses comme 250 000 personnes.
Configuration HTTPS
Aaaah, le fameux https. « Sâil y a un cadenas vert, câest sĂ©curisĂ© ». Non. Encore non.
Chiffré, oui, assurément. Mais la question reste : comment ? Potentiellement avec des algorithmes dépassés, via un protocole obsolÚte, le tout vulnérable à plusieurs vulnérabilités connues, documentées, exploitables.
Deux collĂšgues et moi avons Ă©tabli des lignes directrices, qui ont Ă©tĂ© validĂ©es par la CNIL, sur ce qui Ă©tait considĂ©rĂ© comme correct, tolĂ©rable, inacceptable. Quand bien mĂȘme ce document nâest pas encore public, vous pouvez vous faire une idĂ©e en scannant votre site avec CryptCheck , ou via testssl.sh . Oubliez le scanner de Qualys : son Ă©chelle de notation est scandaleusement mauvaise.
Et Ă lâoccasion, je publierai probablement un guide sur le sujet. VoilĂ .
Utilisez des standards reconnus, pas un voile de fumée vendue par un éditeur peu scrupuleux
Mots de passes « en interne »
On a parlĂ© plus haut des mots de passe de vos utilisateurs. OK. Mais en interne ? Les sessions Windows ? Les applis, le back-office, lâERP, toutes ces choses « invisibles » de lâextĂ©rieur ?
MĂȘme chanson. MĂȘmes mesures. Un presta qui fait de la maintenance sur une Ă©norme base de donnĂ©es nationale, avec en login « tma » (tierce maintenance applicative) et en mot de passe « tma » ? Câest possible . Et je suis convaincu que ce qui a Ă©tĂ© constatĂ© chez ce presta nâest pas un cas isolĂ©.
Les politiques de gestion des mots de passe, câest pas juste pour faire joli, il faut les appliquer. Sinon le couperet tombe, et fort de surcroĂźt.
La CNIL retiendra aussi lâenregistrement des mots de passe dans un navigateur, notamment parce quâil suffit de se tirer avec votre profil Firefox pour tout rĂ©cupĂ©rer en clair, ou au pire prendre 10 minutes pour pĂ©ter le mot de passe maĂźtre. PrivilĂ©giez les coffre-forts comme KeePass.
Les caméras
Quâon soit pour ou contre, quâon conchie le terme « vidĂ©o-protection » ou non, câest un fait : yâen a partout, le principal effet Ă©tant de dĂ©placer la dĂ©linquance lĂ oĂč elles sont encore absentes, ou de faire de la levĂ©e de doute quand une Ă©tudiante mythomane invente un blessĂ© grave dans une Ă©vacuation de fac.
Et force est de constater que tout ça laisse à désirer : enregistreur un peu trop accessible, accÚs à distance non sécurisé, autorisation préfectorale inexistante ou non renouvelée, information incomplÚte des personnes⊠et surtout, implantation hasardeuse.
Ce nâest pas forcĂ©ment lâexploitant qui est en cause, notez, mais plutĂŽt le prestataire dont câest supposĂ© ĂȘtre le mĂ©tier. On a donc au menu :
des camĂ©ras qui filment des postes de travail fixe, alors que câest interdit ;
des camĂ©ras qui filment le parking mais aussi le jardin du voisin (grosse rigolade dans une usine oĂč jâai soi-disant fait dĂ©couvrir aux agents de sĂ©cu que le joystick sert Ă bouger le dĂŽme du coin du bĂątiment et Ă zoomer : le PV contient une photo du voisin dans son canapĂ© en train de se gratter le bide âun des plus beaux PV de ma carriĂšre), la rue⊠Câest dommage, mais câest comme ça : on peut filmer chez soi, mais pas lâespace public, et pas les domaines privĂ©s qui ne sont pas les nĂŽtres.
câest aussi valable pour la « vidĂ©o-protection » : la Police ne doit pas filmer votre jardin, votre restaurant, votre hall dâimmeuble. Je comprends que certains lieux leurs soient utiles, mais câest la Loi. Pour ça, on demande lâapplication de masques : un gros carrĂ© gris ou de flou sur des zones de lâimage.
le souci des masques, câest que ça demande une revue rĂ©guliĂšre : avec le vent notamment, les petits crans de lâarbre qui fait tourner la camĂ©ra se dĂ©calent, et les masques sont placĂ©s par rapport Ă ce crantage. On observe donc souvent des masques dĂ©calĂ©s : ils masquent en partie une zone autorisĂ©e, mais laissent aussi visible une partie de zone interdite.
si la caméra a été implantée à un emplacement réfléchi, peu de masques sont nécessaires
si la camĂ©ra a Ă©tĂ© implantĂ©e « là ça a lâair bien » par un presta pas trĂšs pro, quand vous ajouterez un masque, la camĂ©ra perdra toute son utilitĂ©. Par exemple : votre camĂ©ra filme une rue, et on voit la vitrine et la porte dâun supermarchĂ©. Il faut un masque. Mais le masque est appliquĂ© au niveau de la camĂ©ra, pas du magasin : toute personne passant sur le trottoir, dans la rue⊠sera couverte par le masque. Et la camĂ©ra ne vous sert plus quâĂ regarder un immense rectangle gris. Câest cher du rectangle.
La CNIL contrĂŽle tous les dispositifs vidĂ©o. La vidĂ©o-protection (espaces accessibles au public sans restriction : les rues, les gares, les supermarchĂ©s, tout ça) nĂ©cessite une autorisation prĂ©fectorale prĂ©alablement Ă la mise en service du dispositif (notamment parce quâelle demande Ă fournir le schĂ©ma dâimplantation : ce serait couillon de poser les camĂ©ras pour sâentendre dire quâil faut les dĂ©placer), et câest la prĂ©fecture qui sanctionne en cas de manquements Ă la loi (informatique et libertĂ©, mais surtout code de la sĂ©curitĂ© intĂ©rieure [le CSI]). La vidĂ©o-surveillance, elle (lieux privĂ©s, rĂ©serves de magasin, zones Ă accĂšs restreint comme un club de sport sur abonnementâŠ), se dĂ©clare directement Ă la CNIL, qui contrĂŽle et sanctionne.
Postes nomades et ordiphones
(jâaime bien ce mot, « ordiphone » đ )
Des donnĂ©es personnelles en local, des identifiants permettant dâaccĂ©der aux donnĂ©es personnelles que vous traitez Ă distance, les clĂ©s de vos VPN et autres accĂšs SSH, vos courriels⊠Tout ça, on le retrouve sur votre PC portable, et sur votre tĂ©lĂ©phone intelligent. Ce nâest pas fondamentalement un problĂšme en soi. Mais si on le vole, si vous le perdez ?
La CNIL attend donc que les postes nomades (PC portables, en gros) et les tablettes/téléphones soient protégés : chiffrés, en gros. Idéalement, pas avec du BitLocker dégueu.
Vos smartphones doivent aussi disposer dâun Ă©cran de verrouillage, avec un schĂ©ma ou un PIN assez long. Une empreinte digitale fera le job aussi.
Pas dâexcuses : tous les tĂ©lĂ©phones iOS/Android supportent le chiffrement, voire le sont dĂ©jĂ par dĂ©faut. Reste Ă mettre un code pour protĂ©ger lâaccĂšs au contenu.
Pour les ordinateurs, câest un chouille plus complexe, mais pensez VeraCrypt, ou regardez du cĂŽtĂ© des solutions labellisĂ©es par lâANSSI, comme CryHod (qui fonctionne trĂšs bien, dâailleurs).
Le procĂšs-verbal
Pour finir cet article, on va causer un petit peu du PV. Tout au long du contrĂŽle, les agents de la CNIL notent ce quâon leur dit (« sommes informĂ©s » : on peut revenir sur ce quâon dit par la suite) et ce quâils voient (dont ils prennent copie, comme piĂšce ajoutĂ©e au PV : ce sont des « constatons », et lĂ ce sont des preuves, pas simple de revenir dessus).
Il est contradictoire : la dĂ©lĂ©gation le rĂ©dige, le relit, ça prend approximativement beaucoup trop de temps (chamailleries de juristes pour qui la position de la virgule change tout, qui voudraient rĂ©Ă©crire la partie de lâinformaticien, et puis parce quâune phrase indirecte de moins de 300 mots nâest pas satisfaisante : on risquerait de comprendre Ă la premiĂšre lecture) â sans rire, quand la dĂ©lĂ©gation vous demande Ă sâisoler pour « relire le PV », comptez facilement 3 heures, en pratique je dirais mĂȘme (selon le contrĂŽle) 4-5 heures. La dĂ©lĂ©gation imprime ensuite le PV : autonome, elle se balade avec une petite imprimante sur batterie et avec du papier.
Ensuite tout le monde de votre cĂŽtĂ© relit, discute, on se met dâaccord, on reformule ce qui semble poser problĂšme ou les erreurs de comprĂ©hension/transcription, on rĂ©imprime, tout le monde signe et repart content, tandis que le vigile qui fermait le bĂątiment fait le pied de grue depuis 21h.
Et pour le mot de la fin : pensez Ă la dĂ©lĂ©gation qui, Ă lâheure oĂč elle sort, va devoir se contenter dâun Big Mac dĂ©gueu parce quâil ne restera que les fast-food dâouverts. LâexpĂ©rience qui parle.
Vous voilĂ avec toutes les billes en votre possession : vous savez comment se passe un contrĂŽle, ce quâil faut faire/pas faire, et ce que la Commission vĂ©rifie dans un premier temps, sur un contrĂŽle « classique » dâune journĂ©e.
Vous savez donc par oĂč commencer votre mise en conformitĂ©, si câest la sanction du RGPD qui vous fait peur. Bon courage !
Connexion
