Piratage de Yahoo! : la sécurisation des données est-elle un leurre ?

0
346

Les recours judiciaires semblent peu prometteurs pour les utilisateurs français concernés. L’avocat Marc-Antoine Ledieu nous explique pourquoi.

À peine l’information du piratage massif de quelque 500 millions de comptes d’utilisateurs a-t-elle été dévoilée que des recours judiciaires ont vu le jour aux États-Unis. L’un d’entre eux, lancé par le New-Yorkais Ronald Schwartz devant un tribunal fédéral de San Jose (Californie), concerne tous les utilisateurs dont les données sont « tombées entre les mains de criminels ». Cette class action vise à établir la « négligence grave » de l’opérateur qui s’est engagé à sécuriser les données de ses clients, et obtenir, en compensation, d’importants dommages et intérêts. Mais le mal est fait.  Et « il sera irréparable, tant pour les victimes de cette violation d’identité numérique que pour le secteur qui souffrira d’une perte de confiance évidente », devine Frans Imbert-Vier, président directeur général d’Ubcom, agence d’audit et de conseil en cybersécurité et gouvernance des organisations.

Que risquent les utilisateurs dont les données ont été piratées ? Des recours du type « actions de groupe » sont-ils possibles en France ? Que peuvent faire les pirates à l’aide des données volées ? Entretien avec Marc-Antoine Ledieu, avocat spécialiste du droit des nouvelles technologies et des données personnelles.

Le Point.fr : Pourquoi cette révélation n’intervient-elle que deux ans après le piratage ? Selon certaines rumeurs, c’est pour ne pas compromettre la revente de la société… Les utilisateurs peuvent-ils reprocher à Yahoo! ce silence ?

Marc-Antoine Ledieu : Soit Yahoo! a découvert récemment le piratage des comptes de ses clients, ce qui en soi démontre que cette société n’a pas mis en œuvre les moyens nécessaires pour détecter la fraude. Soit elle a délibérément caché l’information et cela paraît tout aussi fautif pour ses clients qui devraient pouvoir être informés des fuites de leurs données. L’annonce, deux ans après sa survenance, de cette fuite de données pourrait en effet avoir été orchestrée par ceux qui ont intérêt à faire baisser la valorisation de la société en cours de vente.

Yahoo! peut donc se voir reprocher une double faute : ne pas avoir sécurisé les données de ses clients et ne pas les avoir informés du piratage de leur compte. Cette obligation de sécurisation des données figure dans la loi informatique et libertés depuis août 2011. Mais elle reste vague … En revanche, le règlement européen qui remplacera les lois des pays de l’UE (dont la loi informatique et libertés) définit beaucoup plus clairement l’obligation de sécurisation des données et impose à l’opérateur victime d’un piratage ou d’une intrusion d’en informer les autorités de contrôle et les personnes dont les données ont été volées. Mais ce règlement n’entrera en vigueur que le 25 mai 2018.

Beaucoup d’utilisateurs français sont concernés. Peuvent-ils engager une action de groupe ou collective et sur quels fondements ?

Et non, hélas !, aujourd’hui, les Européens dont les données ont été collectées par Yahoo! en France et transférées aux États-Unis puis collectées de manière illicite – par on ne sait pas qui, mais sûrement pas un État comme le prétend Yahoo! – n’ont guère de recours à leur disposition. Sauf à aller se joindre à l’action collective apparemment lancée aux États-Unis par des internautes mécontents. Une action de groupe à l’image des class actions américaines n’est pas envisageable : cette procédure, possible en France depuis 2014 dans le cadre du droit de la consommation, ne concerne pas la protection des données.

Des actions individuelles sont théoriquement envisageables, mais, pour obtenir l’indemnisation de son préjudice, il faut prouver un « manquement d’un ou des mêmes professionnels à leurs obligations légales ou contractuelles », ce qui est très vague. Il faudrait aussi démontrer l’existence d’un dommage. Or, dans le cas d’un vol de données personnelles, c’est très compliqué ! En outre, le montant de l’indemnisation à espérer, inquantifiable, serait probablement dérisoire… Enfin, si un tribunal français condamnait Yahoo! Inc. (la maison mère, responsable de la fuite) à dédommager l’un de ses utilisateurs français, il faudrait ensuite obtenir l’exécution de ce jugement aux États-Unis, ce qui est loin d’être gagné…

Que peuvent faire les autorités françaises – et notamment la Cnil, qui est le gendarme de la protection des données personnelles – ou européennes contre la société américaine ?

La Cnil n’est pas habilitée pour aller enquêter aux États-Unis. Elle n’a pas la capacité à agir contre un opérateur américain sur le territoire des États-Unis, d’où apparemment la fuite a été constatée. Quant à la représentation française de Yahoo!, elle n’y est probablement pour rien. Elle a envoyé les données aux États-Unis probablement en application du Safe Harbor (applicable à l’époque, puis remplacé par le Privacy Shield) et donc de manière légale.

Yahoo! assure qu’il a tout mis en place pour protéger les comptes piratés, mais recommande néanmoins à ses clients de modifier leur mot de passe. Cela dit, les hackers se sont déjà emparés des informations personnelles (date de naissance, nom, adresse électronique, numéro de téléphone, etc.), seules les données bancaires ayant, semble-t-il, été épargnées… Que peut-on craindre ?

Parmi les principales craintes après une fuite de données, c’est la réutilisation par des criminels des données bancaires des clients. Ce qui engage ces derniers à surveiller de près leurs comptes bancaires et à faire opposition auprès de leur banque en cas d’anomalie. L’autre crainte, non moins réelle, mais plus insidieuse, est celle de l’usurpation d’identité. Les informations personnelles permettent de fabriquer un faux passeport. Et là, je vous laisse deviner les problèmes que vous pourriez rencontrer lors d’un innocent passage à la douane dans un pays dans lequel vous n’auriez jamais mis les pieds…

Cette affaire est tout de même sidérante à l’heure où le sujet de la protection des données est au cœur de l’actualité numérique, en France comme aux États-Unis ! Si la loi ne nous protège pas, comment sécuriser ses données personnelles ?

Avec le nouveau règlement européen qui s’appliquera en mai 2018, les opérateurs de services de communication en ligne ont l’obligation de notifier les failles de sécurité et d’informer les utilisateurs en cas d’atteinte grave aux données personnelles. S’ils ne le font pas, ils encourent une sanction pécuniaire pouvant aller jusqu’à 2 % du chiffre d’affaires mondial des sociétés concernées (aujourd’hui, la Cnil ne peut actuellement pas prononcer de sanctions supérieures à 150 000 euros voire 300 000 euros en cas de récidive)… Le premier d’entre eux qui sera sanctionné à ce titre servira alors d’exemple pour les autres. Au moins faut-il l’espérer…

Ce n’est pas le premier scandale du genre en matière de vol de données : il y a eu Orange en 2014, et d’autres…  Le piratage des données personnelles confiées aux opérateurs est-il une fatalité ?

C’est vrai, Yahoo! n’est ni le premier ni le dernier à subir ce type d’attaque. Il suffit de se souvenir du piratage des serveurs de Sony Pictures fin 2014, en représailles à la sortie du film (assez drôle, d’ailleurs) sur la tentative d’assassinat du leader de la Corée du Nord. Et de celui du site de rencontres Hashley Madison (37 millions de clients – infidèles potentiels – en août 2015)… Cela traduit une chose : que la sécurité est un enjeu majeur pour ces sociétés si elles veulent garder la confiance de leurs clients, ce qui suppose d’envisager les investissements dans ce domaine comme de l’argent dépensé utilement.

Les pirates vont probablement utiliser ces données pour d’autres attaques. À quoi peut-on s’attendre et que faire pour s’en protéger ?

On peut s’attendre au pire lorsque l’on sait que l’Internet n’est au départ pas sécurisé. Il s’agissait d’un simple protocole de communication entre réseaux d’ordinateurs. Aujourd’hui, les prestataires de service web un tant soit peu responsables proposent des systèmes de mots de passe à double facteur et, enfin, un début de chiffrement des flux de données. C’est un début. Mais lorsque l’on découvre que la fuite de données a été causée chez Yahoo! par un défaut de mise à jour d’un logiciel, on reste sans voix. Le pire, c’est que le plus souvent, ce type de fuite de données provient d’une défaillance humaine. Vous souvenez-vous du piratage de TV5 Monde en avril 2015 ? Le mot de passe d’accès à un des services web de cette chaîne de télévision était écrit sur un mémo autocollant qui avait été filmé et diffusé. Il faudrait effectivement revoir la politique de création des mots de passe. Mais, aujourd’hui encore, une étude récente a révélé que 60 % des mots de passe utilisés sur le Web sont « 1 2 3 4 5 6 » ou plus simplement encore « motdepasse ». La technique doit bien évidemment progresser, mais une prise de conscience des internautes et un changement d’habitude de chacun seront également indispensables. Un de mes clients m’a dit attendre en tremblant un « 11 Septembre » numérique.

lepoint.fr

AUCUN COMMENTAIRE

REPONDRE