Une consultation numérique, quels objectifs ?

Written by Nathalie Dreyfus11/12/2014

Une importante consultation numérique a été lancée le 4 octobre par le premier ministre français Manuel Valls. Elle est pilotée par le Conseil national du numérique (CNNum) et accessible à tous sur contribuez.cnnumerique.fr jusqu’au mois de janvier 2015.

Le CNNum invite les Français à donner leur avis et expertise afin d’identifier les grandes problématiques du numérique. Ainsi, entreprises, associations, citoyens peuvent répondre aux questions relatives à l’impact des technologies digitales sur l’économie et la société. Des pistes de solutions sont aussi proposées afin que le public puisse se prononcer sur leur faisabilité.

La consultation est ouverte depuis le 4 octobre et couvre des thèmes comme « Croissance, innovation, disruption » ou « Loyauté dans l’environnement numérique ». Depuis le 3 novembre, 2 autres thématiques sont disponibles : « La transformation numérique de l’action publique » et « La société face à la métamorphose numérique ».Pourtant, le calendrier est assez serré, seulement quelques semaines pour collecter les propositions des Français sur des sujets de grande importance. Axelle Lamaire, secrétaire d’Etat au Numérique, justifie ces délais par l’urgence, car « certains voudraient récupérer l’espace Internet pour en faire un objet de puissance ».

Pour chaque thématique, des journées contributives seront organisées partout en France. A travers cette consultation, tout le monde peut évaluer les propositions du CNNum, d’argumenter leur vote pour ou contre et de faire des nouvelles propositions. Une synthèse sera rédigée suite à des analyses quantitatives et qualitatives des contributions. Sur cette base, les membres du CNNum construiront une vision globale par thème. Cette expertise permettra d’adresser au gouvernement plusieurs propositions d’actions en vue d’un projet de loi.

Le programme est vaste… Mais selon Manuel Valls et Benoît Thieulin, président du CNNum, la consultation doit aider à « définir quelle est la société dans laquelle nous voulons vivre demain ». La réussite de ces objectifs dépendra du succès de cette consultation et du gouvernement par la suite.

A suivre.

Written by Nathalie Dreyfus02/10/2014

Avec la multiplication des réseaux sociaux et la démocratisation des monnaies virtuelles, l’association des deux est une évolution évidente. En effet, les monnaies virtuelles sont de plus en plus utilisées sur les réseaux notamment pour le paiement de services premium.

Les monnaies virtuelles se caractérisent par leur dématérialisation. Elles sont conservées sur des supports électroniques et utilisées par des dispositifs eux-mêmes électroniques. Elles ont le même but que la monnaie réelle, c’est-à-dire acheter des biens et services. Cependant, ce sont des monnaies privées, non sujettes aux règlementations et régulations étatiques. Elles peuvent avoir un but lucratif ou caritatif.

Ces nouvelles monnaies, qui ont fait leur apparition en parallèle de la monnaie réelle, sont souvent spécifiques à un réseau. Parmi les plus connues, on peut citer notamment les Facebook Credits et les Twollars de Twitter. Elles sont aussi très présentes sur d’autres supports, dans les jeux vidéo notamment.

On peut distinguer deux systèmes de monnaies virtuelles :

– les systèmes ouverts où la monnaie réelle est convertible en monnaie virtuelle et inversement.

– les systèmes fermés où la monnaie virtuelle n’est pas reconvertible en monnaie réelle.

En lien avec ces monnaies, on peut voir émerger des modes de paiement adaptés aux réseaux sociaux, comme Dwolla par exemple. On assiste par la même occasion à la monétisation des « likes » ainsi que des followers et des tweets notamment. Ce concept a été utilisé dans le magasin éphémère (pop-up store) de Marc Jacobs pendant la Fashion Week à New-York. Grâce au hashtag #MJDaisychain, les clients pouvaient payer en tweetant.

A l’heure actuelle, l’encadrement juridique de ces monnaies est inexistant. Cependant leur développement et les enjeux entrainés accroissent le besoin d’une règlementation. Il faudrait trouver une solution internationale afin de contrôler au mieux ces monnaies du fait de leur défaut de territorialité, ce qui est complexe.

Written by Nathalie Dreyfus04/09/2014

note1 La Commission Nationale de l’Informatique et des Libertés (CNIL) a rendu public son rapport d’activité pour l’année 2013. Au cœur de sa réflexion pour 2014, le « chantier du bien-être » inquiète la Commission qui veut mesurer l’impact sur la vie privée des nouvelles pratiques numériques de santé.

Bracelets, montres, balances connectés : la santé connectée envahit depuis peu les étals des magasins spécialisés. Ces objets permettent de recueillir un maximum de données sur leurs utilisateurs. Par exemple, le rythme cardiaque, le nombre de pas effectués par jour, la qualité du sommeil ou la tension artérielle sont aisément recueillis. Et selon le rapport de la CNIL, cela ne fait que débuter. A l’horizon 2017, un utilisateur de smartphone sur deux aura installé au moins une application dédiée au bien-être et à la santé. Pour ne citer qu’elle, la société Apple devrait présenter dans le courant de l’année l’application Healthbook (littéralement « carnet de santé ») qui sera installée par défaut sur tous les terminaux vendus.

Ce phénomène de bien-être numérique, dit également quantified self, est intéressant à plusieurs égards. Il faut noter que les données sont produites par les utilisateurs. Pourtant, même si ces données touchent à l’intimité, les utilisateurs ont une large tendance à les partager.

Mais la CNIL s’inquiète de la frontière ténue entre le bien-être et la santé. En effet, les données de santé sont considérées comme sensibles et font l’objet d’une réglementation renforcée. L’article 8 de la loi Informatique et Libertés du 6 juillet 1978 pose le principe d’une interdiction de la collecte et du traitement de ces données. Ce principe est néanmoins assorti de nombreuses exceptions, qui ont permis à cette tendance d’émerger.

La Commission s’inquiète par ailleurs de la sécurisation et de l’utilisation des données par les sociétés qui les collectent. Le rapport indique que les utilisateurs ont l’impression d’avoir un rapport direct avec ces données, « puisqu’ils en sont à l’origine », alors que les entreprises pourraient les céder, ou les utiliser à des fins non connues par les utilisateurs.

Le rapport relève enfin que cette pratique du quantified self pourrait s’imposer. Certains assureurs américains considèreraient comme suspects leurs clients qui ne se mesurent pas, et refuseraient de les indemniser en cas de dommage. Pour la CNIL, le chantier de la santé connectée ne fait donc que débuter et les risques sont nombreux. Nul doute pourtant que la Commission, appuyée par le G29 et par la Commissaire européenne Viviane Reding, aura à cœur de protéger ces données très personnelles.

Dreyfus peut vous aider à protéger au mieux vos données et à gérer votre présence sur internet. N’hésitez pas à nous contacter pour tout renseignement.

Written by Nathalie Dreyfus17/07/2014

La société Snapchat, qui développe l’application mobile du même nom, et qui permet d’envoyer des messages éphémères, vient de trouver un accord avec la Federal Trade Commission américaine (FTC). Les deux parties ont transigé afin d’éviter un procès qui aurait été largement dommageable pour la société.

Dans un long communiqué, la Commission pointe du doigt de nombreuses fausses déclarations faites par Snapchat aux consommateurs, notamment au sujet du fonctionnement de l’application. La nature éphémère des messages, qui a donné sa popularité à l’application, était largement remise en question. En effet, les messages reçus sont aisément enregistrables par le biais d’une capture d’écran, ce que critique la FTC. Dans les versions précédentes de Snapchat, l’expéditeur était averti lorsque le récepteur enregistrait une capture d’écran, mais ce n’est plus le cas désormais. Il existe en outre selon le communiqué de multiples manières d’enregistrer aisément des messages photos ou vidéos.

La FTC liste un nombre important de griefs adressés à l’égard de Snapchat : géolocalisation et collecte du carnet d’adresse sans l’accord de l’utilisateur, ou encore manque de sécurité dans le chiffrement des messages. Fin 2013, les données personnelles de près de 5 millions d’utilisateurs avaient été récupérées par des pirate du fait de ce manque de sécurité.

C’est donc pour éviter un procès que Snapchat a accepté de signer cet accord. Celui-ci prévoit entre autres l’interdiction pour la société de déformer sa politique de confidentialité, de sécurité ou de vie privée. Surtout l’accord prévoit un contrôle indépendant et pendant 20 ans, de l’activité de la société dans ces domaines.

L’accord entre la société et la Commission est ouvert aux commentaires jusqu’au 9 juin 2014, date à laquelle il devra être signé par les deux parties puis homologué par un juge. L’engagement de la FTC pour une collecte responsable des données personnelles doit être salué. Alors que de plus en plus de données sont recueillies quotidiennement, la vie privée des consommateurs doit rester au cœur des préoccupations des sociétés et des états.

Dreyfus est spécialisé dans la lutte contre les atteintes en ligne. N’hésitez pas à nous contacter pour plus de renseignements.

Written by Nathalie Dreyfus10/07/2014

Désigné par le prestigieux dictionnaire Oxford comme mot de l’année 2013, le selfie désigne le fait de faire un autoportrait en utilisant un smartphone. Cette pratique est même devenue la spécialité de certains réseaux sociaux tels qu’Instagram ou Snapchat, avec chacun leurs spécificités. Si d’aucuns y voient un passe-temps ou une exacerbation de l’individualisme sociétal, la pratique du selfie pose pourtant de nombreux problèmes juridiques. Du point de vue juridique, le selfie relève du droit à l’image, lui-même dérivé du droit à la vie privée.

Puisque le selfie est une photographie, la première question qui se pose est évidemment celle du droit à l’image. Si la situation ne présente pas de difficulté particulière lorsqu’une personne se photographie seule, il en est nécessairement autrement lorsque le selfie est une photographie de groupe. Cette question est souvent résolue en présumant, à raison, que les personnes présentes sur l’image ont donné leur consentement pour être photographiés.

Mais, et c’est souvent là que le bât blesse, le consentement s’arrête souvent là. A l’heure des réseaux sociaux, l’auteur du selfie aura bien souvent l’envie – sinon le réflexe – de poster l’image sur les plateformes sociales sans avoir obtenu l’accord exprès des individus. Or le consentement à être photographié et celui d’avoir son image postée sur internet, sont bien distincts. Ainsi il est recommandé d’obtenir le consentement exprès des personnes photographiées pour publier et diffuser l’image. Pour information, il faut rappeler que le consentement des personnes situées sur la photographie sans en être l’objet principal (notamment les individus en arrière-plan) n’a pas à être recueilli.

Le selfie peut également soulever la question du droit à l’image des biens. Lorsque la photographie est prise en intérieur, le droit au respect de la vie privée est important et il pourra se révéler nécessaire d’obtenir l’accord de l’occupant des lieux. Plus encore, lorsque le selfie inclue un bien couvert par un droit de propriété littéraire et artistique ou par un droit de propriété industrielle autre, leurs titulaires sont en droit de demander le retrait de la photographie.

Enfin, à l’occasion des dernières élections, on a observé un déferlement de selfies pris dans l’isoloir. En France, rien n’interdit a priori de se prendre en photo dans l’isoloir tant que le secret du vote n’est pas enfreint. Le ministre de l’intérieur a précisé à ce sujet qu’« il convient de noter que le « scrutin est secret » (L. 59 du code électoral). En outre, le président du bureau de peut procéder à toute expulsion en cas de trouble à l’ordre public ». Le fait de se prendre en photo dans l’isoloir n’est pas en soi un trouble à l’ordre public mais peut mettre en doute l’indépendance de l’électeur.

Le selfie présente donc des problématiques particulières qu’il convient de manier avec précaution, notamment pour la publication sur les réseaux sociaux.

Dreyfus est spécialisé peut vous aider dans la gestion de votre présence en ligne. N’hésitez pas à nous contacter pour tout renseignement.

Written by Nathalie Dreyfus10/07/2014

Avec les récents scandales de cyber espionnage, la gouvernance d’Internet et le rôle de l’Internet Corporation for Assigned Names and Numbers’ (ICANN) ont fait l’objet de nombreux débats.

En février 2014, le PDG de l’ICANN, Fadi Chehadé, a présenté l’idée de créer une structure parallèle similaire à l’ICANN qui aurait le statut d’organisation non-gouvernementale (ONG). Lors d’un voyage en France, Fadi Chehadé a mis l’accent sur le besoin pour l’ICANN d’avoir une structure internationale afin d’être plus ouverte et plus acceptée dans le monde.

Genève comme lieu d’implantation de cette nouvelle structure internationale lui offrirait un cadre plus neutre ainsi qu’une échappatoire à la gouvernance pro-américaine. Cela permettrait aussi d’accroître la légitimité mondiale de l’ICANN.

Une nouvelle structure à Genève rapprocherait l’ICANN de l’Union Internationale des Télécommunications (UIT). Pour certains, cela pourrait créer un sentiment de compétition et engendrer un risque de rivalité entre l’UIT et l’ICANN. Cependant, le Secrétaire général de l’UIT, Hamadoun Touré, a affirmé que l’Union n’a pas pour ambition la gouvernance mondiale d’Internet.

A la suite de l’annonce de Fadi Chehadé, le 14 mars 2014, l’ICANN a déclaré sa volonté de transition de la gouvernance américaine actuelle à une gouvernance internationale. Cette déclaration s’inscrit dans la continuité de la transition de l’ICANN vers le statut d’ONG.

L’ICANN souhaite entamer un dialogue entre les membres de son Conseil et la communauté sur ce sujet, notamment à l’occasion de ses réunions.

Dreyfus sera présent lors de la prochaine réunion de l’ICANN à Londres, fin juin, afin de vous informer au mieux sur les évolutions à venir.

Written by Nathalie Dreyfus10/07/2014

Alors que le Congrès américain a publié en février dernier un rapport sur la légalité de Bitcoin à travers le monde, la première monnaie virtuelle soulève encore bien des questionnements. Son cours, inférieur à 1$ jusqu’en 2011, a grimpé a plus de 1000$ il y a quelques mois, et est aujourd’hui situé entre 200 et 400$. Les autorités judiciaires, fiscales et les institutions de tous les états se penchent sur cette crypto-monnaie pour en comprendre le fonctionnement. Le but final est d’en cerner tous les tenants et aboutissants pour légiférer. Les incertitudes sont fondées, mais Bitcoin n’est pas insaisissable. Tour d’horizon de la monnaie en quatre questions.

Comment fonctionne Bitcoin ?
Bitcoin est une monnaie électronique qui fonctionne de pair à pair. Son fonctionnement se base sur les principes de la cryptographie pour valider les transactions et la génération de la monnaie. De façon schématique, Bitcoin est un mode de paiement et une monnaie décentralisée, puisqu’aucun serveur central n’existe. Les ordinateurs des utilisateurs, en se connectant au réseau, contribuent au fonctionnement du système : certains créent de la « monnaie », d’autres valident les transactions…

L’utilisation de la cryptographie permet de rendre les échanges de Bitcoins totalement anonymes. Ainsi, une transaction entre un acheteur et un vendeur ne se fait pas de manière classique : l’acheteur perd des Bitcoins, mais ils ne sont pas eux-mêmes crédités au vendeur. Ce dernier en gagnera autant que l’acheteur en a perdu, c’est le prix de la transaction. Il n’y a toutefois aucun flux de monnaie entre l’acquéreur et le vendeur, permettant cet anonymat total.

Quelles sont les craintes soulevées par ce système ?
L’anonymat est largement craint par les autorités. Blanchiment d’argent, ventes et trafics illégaux en tous genre sont autant d’activités potentielles que le Bitcoin semble permettre. Dès le mois d’avril 2012 pourtant, le FBI américain a publié un document indiquant ses craintes que le service soit utilisé pour des activités illégales, le plus souvent intraçables.

Ainsi sur Silk Road, une place de marché accessible uniquement par le réseau d’anonymisation TOR, tous les échanges se font en Bitcoins. Silk Road est principalement utilisé pour la vente de produits stupéfiants, de faux papiers d’identité et de produits contrefaisants. Les achats sur ce site sont donc risqués, et peuvent même s’avérer dangereux pour les consommateurs puisque le site commercialise également des contrefaçons de médicaments. Seule limite, Silk Road interdit la vente d’armes et de produits pédopornographiques.

Sous l’impulsion du Sénat américain, Silk Road avait été fermée en octobre 2013 par le FBI, avant de rouvrir quelques jours plus tard. La plateforme est encore opérationnelle et le trafic y a toujours cours.

Quel est le statut juridique du bitcoin ?
Juridiquement, Bitcoin ne peut pas être considérée comme une monnaie à caractère légal. Le pouvoir de frapper monnaie est un pouvoir régalien. Il est donc naturel qu’à l’heure actuelle, aucun état ne reconnait le Bitcoin comme unité monétaire dans son ordre juridique.

Bitcoin n’est pas non plus une monnaie électronique, définie dans l’Union européenne par une directive de 2009 comme « une valeur qui est stockée sous une forme électronique, y compris magnétique, représentant une créance sur l’émetteur, qui est émise contre la remise de fonds aux fins d’opérations de paiement (…) et qui est acceptée par une personne physique ou morale autre que l’émetteur de monnaie électronique ». Avec le Bitcoin, les transactions ne se font pas entre deux personnes, il n’y a donc pas d’émetteur. Par ailleurs, le Bitcoin n’est pas une unité monétaire stockée sous forme électronique. Par conséquent, la Directive européenne ne peut pas s’appliquer.

Certains voient dans le Bitcoin une « monnaie parallèle » ou une « monnaie anarchiste », d’autres une simple unité de mesure monétaire. Quant aux services fiscaux américains, ils ont annoncé le 25 mars dernier qu’ils traiteraient les Bitcoins comme un bien et non pas comme une monnaie. Cela permet de soumettre l’achat et la vente de Bitcoins à des taxes.

Finalement, est-ce bien légal ?
En tant que tel, difficile de dire que le Bitcoin est illégal. Seules les utilisations qui en sont faites peuvent dépasser un cadre juridique et être qualifiées pénalement. Si Silk Road fait figure d’exemple en la matière, de nombreux sites utilisent Bitcoin pour vendre des biens ou des services qui n’ont rien d’illégal.

En France, le Sénat a conduit des auditions en janvier 2014, se focalisant sur les opportunités que présente cette technologie et la manière dont la loi pouvait évoluer pour l’encadrer davantage. C’est en Allemagne que le statut du Bitcoin est le plus avancé. Le gouvernement allemand a en effet plafonné l’impôt sur le revenu en Bitcoin à 25% et l’a catégorisée comme monnaie privée.

A ce jour, seule la Thaïlande a complètement interdit l’utilisation de Bitcoin sur son territoire.

Créé en 2009, Bitcoin est pourtant déjà dépassé d’un point de vue technique. Remplacé par des technologies qui se basent sur des infrastructures plus légères et plus sûres, le Bitcoin vit peut-être ses dernières heures. Reste à savoir quelles seront les réactions étatiques face à ces nouvelles unités d’échanges.

Written by Nathalie Dreyfus03/07/2014

Juin 2014 – Lors de l’ICANN50 à Londres, une déclaration inattendue a été faite. Il a été annoncé que les noms de domaine libérés de la liste de collision ne seront pas soumis à la période de Sunrise, privant ainsi les titulaires de marques de la possibilité de défendre leurs droits.

Une collision de noms se produit quand les utilisateurs accèdent par inadvertance à un nom de domaine délégué au domaine public alors que son intention était d’accéder à une ressource du même nom sur un réseau privé tel qu’un intranet. Cela crée un risque de confusion général aussi bien pour les internautes que pour les machines, par conséquent leur enregistrement est interdit.

Les noms en collision ne doivent pas être confondus avec les noms réservés, qui imposent une liste de noms à exclure de l’enregistrement des new gTLD. « Ces noms réservés comprennent des chaines pour les Country Code Top Level Domains (ccTLDs), les noms liés à l’ICANN (tels qu’ICANN), les noms liés à l’IANA (comme l’exemple), et les noms que les opérateurs de registres peuvent utilisés en lien avec une opération sur un TLD » dispose l’ICANN. Les règles encadrant la libération de ces noms ont déjà été discutées et validées. En effet, ces noms ne sont soumis à la période de Sunrise que si celle-ci n’a pas encore pris fin, sinon seul un avis de réclamation pourra être déposé.

L’absence de période de Sunrise peut être vue comme un contournement des mécanismes de protection des droits, qui permettent aux titulaires de marques de protéger leurs droits pendant le lancement des new gTLD. Le Sunrise offre aux titulaires de marques la possibilité de préenregistrer les noms identiques ou similaires à leurs marques afin de prévenir le cybersquatting. Cette période particulière se déroule en amont du lancement général et les titulaires de droits de propriété intellectuelle doivent être en mesure de prouver leurs droits antérieurs à l’enregistrement de l’extension de noms de domaine.

Pour contrer l’absence de protection des droits par défaut de Sunrise, la procédure URS est mise en avant en tant que mécanisme de protection adéquat. Toutefois, de nombreux praticiens affirment que ces actions ne sont pas aussi efficaces que les périodes de Sunrise pour protéger les marques, ce qui se confirme par le nombre peu élevé de procédures URS intentées.

Nombreux sont ceux qui considèrent que les URS ne sont pas suffisantes. Ainsi, des contestations sont à attendre quant à la décision de l’ICANN de ne pas soumettre les noms libérés de la liste de collision au Sunrise, mais l’issue demeure incertaine.

Dreyfus participe aux réunions de l’ICANN pour vous tenir étroitement informés des changements à venir et à anticiper.

Written by Nathalie Dreyfus03/07/2014

Depuis les révélations dans l’affaire Edward Snowden et la découverte de la faille Heartbleed qui a causé le vol de millions de données personnelles, les hackers sont au centre d’une actualité brulante. Mais désormais, les pirates du web s’attaquent aux avocats et autres professionnels du droit, censés protéger de manière accrue les informations de leurs clients.

Le « hacking » consiste en un échange discret d’informations illégales et/ou personnelles en pénétrant sans autorisation dans un réseau. La pratique prend de l’ampleur et devrait constituer une véritable menace dans les années à venir, non seulement pour les entreprises, mais également pour les états. Selon le chef de l’intelligence militaire israélienne le hacking sera bientôt « la plus grande évolution » des techniques de guerre, davantage que la poudre à canon ou que les forces aériennes. Et cela inquiète fortement les professionnels du droit.

En effet, de plus en plus de clients exigent que les cabinets prennent des mesures supplémentaires pour surveiller leurs réseaux et ainsi éviter la fuite d’informations confidentielles ou de grande valeur, telles que des secrets industriels. Une préoccupation majeure est également la possibilité pour les pirates d’accéder à des informations sur des offres ou des marchés avant qu’ils ne soient annoncés.

Les forces de l’ordre ont longtemps craint que les cabinets d’avocats ne fassent pas assez pour se prémunir contre les intrusions de pirates informatiques. Depuis 2011 pourtant, le FBI américain organise des réunions de sensibilisation sur la sécurité informatique et l’espionnage industriel. Mais selon Mickael Stout, consultant en sécurité informatique, « les hackers ne sont pas prêts de partir, et il est de plus en plus évident que les entreprises devront rester à la pointe de la technologie pour repousser toutes les attaques ».

Force est de constater que le mouvement ne faiblit pas, et se diversifie même. L’arrivée des « hacktivistes » tels que les Anonymous, rendant publiques certaines informations dans un but politique, avait secoué le monde entier. Il est donc vivement recommandé de suivre de près l’avancée des technologies et de sécuriser au maximum l’ensemble des données des entreprises.

Dreyfus est spécialisé dans la protection de la propriété intellectuelle en ligne et peut vous aider à définir vos stratégies et à préparer au mieux vos actions. N’hésitez pas à nous contacter pour tout renseignement.

Written by Nathalie Dreyfus05/06/2014

Depuis la médiatisation de sa découverte au début du mois d’avril, la faille dite Heartbleed a fait couler beaucoup d’encre. Faille majeure s’il en est, Hearbleed est en réalité une erreur de codage dans le logiciel de cryptage OpenSSL. Les sites qui utilisent OpenSSL sont — ou ont été pendant quelques jours — très vulnérables au vol de données. Massive pour les uns, effarante pour les autres, en tout état de cause la faille est à prendre très au sérieux. Le point sur Heartbleed en quatre questions.

Qu’est-ce que Heartbleed ?

Heartbleed n’est ni un malware ni un virus. Il s’agit d’une faille dans l’implémentation du protocole de sécurité OpenSSL. Ce dernier est utilisé pour valider les communications entre deux ordinateurs tout en s’assurant de l’identité de ceux-ci. Heartbleed permet à n’importe quel internaute de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Il compromet les clés secrètes utilisées pour identifier les fournisseurs de services et pour crypter le trafic, les noms et les mots de passe des utilisateurs. Il permet également aux pirates d’écouter les communications, et de voler des données directement à partir des serveurs.

La faille d’OpenSSL réside dans une petite ligne de code :

memcpy (bp, pl, payload) ;

La commande memcpy permet de copier des données tout en écrasant les données précédemment copiées. Or, avec Heartbleed, les données sont classées par le système comme de l’information à effacer sans l’être toutefois, et la faille permet de dérober ces données.

Quelle est l’importance de la faille ?

Heartbleed permet de récupérer des données d’un poids maximal de 64 Ko, cela peut paraitre insignifiant. Néanmoins cela représente une quantité d’informations importante en texte brut (64.000 caractères !). Mises bout à bout, les données récupérées sur tous les serveurs vulnérables représentent une masse d’informations colossale. Par ailleurs « Le nombre d’attaques que les hackers peuvent effectuer est sans limite », indique Fox-IT, entreprise spécialisée dans la sécurité informatique.

L’identité des hackers peut également se révéler importante. Ainsi la National Security Agency (NSA) a été accusée, quelques jours après la découverte de la faille, de l’avoir exploitée pendant près de deux ans afin de collecter un maximum de données sur les internautes. Alors que les remous de l’affaire Edward Snowden commençaient à se tasser, ces accusations sont de bien mauvais augure pour l’agence américaine.

La faille a-t-elle été bien corrigée ?

Le protocole OpenSSL a été développé sous la forme de logiciel libre. Cela permet à ses utilisateurs de modifier son code source, et de faire face à des failles de cette ampleur. Pour l’April, une association de promotion du logiciel libre, la nature ouverte du code a « permis de réduire considérablement l’impact de cette faille ». OpenSSL a été mis à jour mais cela ne règle pas tous les problèmes pour autant. En effet, il est nécessaire que la mise à jour soit installée sur les serveurs vulnérables.

La plupart des sites internet les plus utilisés avaient déjà installé la mise à jour du protocole avant la médiatisation de la faille. Leurs serveurs ne sont donc plus vulnérables à cette faille.

Pourtant des erreurs sont vite arrivées. Ainsi la société Akamai Technologies qui gère près de 30% du trafic mondial sur ses 147.000 serveurs, en a fait l’amère expérience. Depuis plus de 10 ans, Akamai utilise une version modifiée d’OpenSSL qui a apporté une « meilleure protection » contre la faille Heartbleed selon le directeur de la technologie de la société. C’est sans compter sur un chercheur indépendant qui a trouvé dans le patch fourni par Akamai à ses clients « un code bourré de bugs et non fonctionnel ». Le chercheur estime en outre que la mise à jour ne protège pas correctement contre Heartbleed. Cela est particulièrement inquiétant quand on sait que les clients d’Akamai sont de grands établissements bancaires, des groupes médias et des sociétés spécialisées dans le commerce électronique.

Mais il est possible que d’autres failles soient révélées. En effet, OpenSSL est critique pour les sites internet qui l’utilisent, mais le projet est loin d’être viable. Ses développeurs sont « désespérément sous-financés » selon le directeur de la recherche pour Sophos. Le Wall Street Jounal indique par ailleurs que seuls quatre développeurs travaillent sur le projet, dont un seul à temps complet.

Que faire coté utilisateurs ?

Du coté des utilisateurs, deux étapes sont cruciales pour être certain de ne pas voir ses informations personnelles dérobées. D’abord, il est nécessaire de s’assurer que les sites web utilisés ont mis à jour leur version d’OpenSSL. C’est le cas de la plupart des sites, notamment les réseaux sociaux et les sites des banques, mais une vérification est malgré tout essentielle.

La seconde étape est de changer ses mots de passe. Ce changement doit être fait après la mise à jour d’OpenSSL, sans quoi des hackers pourraient récupérer le nouveau mot de passe.

Dernier conseil afin de s’assurer de la sécurité de ses données sur internet : varier les mots de passe. Ce conseil est connu mais malheureusement trop peu appliqué. Il est pourtant capital. Ainsi, un mot de passe unique et difficilement décryptable est de bon augure sur les sites sensibles tels que ceux des établissements bancaires. Les mots de passe trop simples tels que « motdepasse » ou « 123456 » sont évidemment à prohiber, quel que soit le site sur lequel ils sont utilisés.

Nouvelles Technologies

Une consultation numérique, quels objectifs ?

Monnaies virtuelles et réseaux sociaux

Santé connectée – la CNIL s’inquiète

Snapchat trouve un accord avec la FTC sur fond de collecte de données personnelles

Le casse-tête juridique du selfie

L’ICANN, une nouvelle ONG à Genève ?

Bitcoin : le point en quatre questions

Pas de période de Sunrise pour les noms libérés de la liste de collision

Les professionnels du droit : cibles de choix pour les hackers

OpenSSL : le point sur Heartbleed

Inscrivez-vous à notre newsletter et restez informés sur les enjeux de la propriété intellectuelle et de l’économie numérique !

Actualités du blog Dreyfus

Inscrivez-vous à notre newsletter et restez informés sur les enjeux de la propriété intellectuelle et de l’économie numérique !

Contact