[Interview] "La cybersécurité est confrontée à la dialectique du glaive et du bouclier"
À l'occasion de l'affaire de piratage "Yahoo!", Marc-Antoine Ledieu, avocat au Barreau de Paris, revient sur les risques et devoirs des professionnels du Web en matière de sécurisation des données personnelles.
Je m'abonnePour les internautes, quels sont les risques liés au vol de données comme cela s'est produit pour Yahoo!; Sony Pictures ou Orange?
Le premier risque, pour un vol massif de données de ce type, concerne la présence de données bancaires (numéros de carte bancaire, mots de passe, cryptogramme...). L'internaute doit déposer un recours auprès de sa banque dans ce cas pour obtenir le remboursement des sommes subtilisées, et non auprès de l'e-commerçant. Il existe également un risque d'usurpation d'identité: dans ce cas, le pirate ou l'acquéreur des fichiers peut se créer une fausse identité numérique, qui se substitue à l'identité réelle.
Le dernier risque concerne les mots de passe. Plus de 60% des mots de passe dans le monde sont "123456 ", "monmotde passe" ou "mypassword". Malheureusement, un même mot de passe est généralement utilisé par l'internaute pour quantité de services. Le pirate peut ainsi chercher de manière automatisée tous les comptes liés à un nom donné.
Pour le cas de Yahoo!, selon mes informations, les données n'ont en réalité pas été revendues sur le dark net (réseaux utilisés pour écouler illégalement des marchandises). Pourtant, il s'agirait de la plus grosse volumétrie de données jamais volées. Ces informations sont généralement rachetées par des entreprises peu scrupuleuses, désireuses d'envoyer des spams publicitaires à grande échelle. De fait, sur 150 milliards d'e-mails envoyés chaque jour à travers le monde, environ les deux tiers sont des spams. Une adresse qualifiée peut valoir sur le dark net un centime, des données bancaires complètes un dollar... Une hypothèse probable est donc celle d'un hacker ayant subtilisé les datas puis fait du chantage auprès de Yahoo! en menaçant de les diffuser. En effet, il demeure pour le moins curieux que des pirates qui ont orchestré un tel vol n'aient jamais tenté de les vendre depuis deux ans.
Par ailleurs, la diffusion tardive de l'affaire Yahoo! apparaît également étonnante, au moment où un concurrent pourrait souhaiter faire baisser le prix de la transaction.
- Quelles sont les obligations des e-marchands en matière de sécurisation des données personnelles de leurs clients?
En tant qu'acteurs qui collectent des données, ils sont tenus d'assurer la sécurité et l'intégrité de celles-ci, selon la loi Informatique et libertés. Cependant, cette obligation générale n'est pas sanctionnée en tant que telle. Hormis les prestataires de service de communication électronique en ligne, les e-commerçants dont on usurpe les données clients ne sont pas exposés à des poursuites. Cela changera avec le règlement communautaire adopté le 27 avril 2016, qui n'entrera en vigueur qu'en mai 2018, et s'appliquera à tous les e-commerçants.
Lire aussi : Netflix, Squeezie et Elise Lucet, TikTok, Snapchat... Médias et réseaux sociaux : quoi de neuf ? (04 - 08 novembre)
Un e-marchand, aujourd'hui, doit "agir en professionnel diligent", "prendre les précautions nécessaires", soit des notions très floues. Le seul préjudice concerne l'image de marque. Mais le vendeur n'est pas soumis à une obligation de résultat concernant la sécurisation des données.
- Quelles recommandations feriez-vous aux acteurs de l'e-commerce qui craignent le piratage de leurs comptes clients?
Le "cyber-risque", auparavant assez hypothétique, devient réel avec la succession des affaires. Il devient nécessaire pour les e-commerçants d'investir dans les dispositifs de sécurisation de leur site. Pas nécessairement sur les paiements, réalisés via des modules sécurisés fournis par les banques (chiffrement, identification). Les problèmes portent surtout sur les failles qui se trouvent sur le site en lui-même. Les clients laissent en effet une quantité d'information phénoménale, incluant leur date de naissance, leur historique de navigation... une fiche d'identité complète.
Il faut effectuer des audits de sécurité afin de repérer les failles, tenir à jour de manière régulière les logiciels utilisés, mettre en place des protocoles de sécurité, chiffrer les communications... Pour l'affaire Yahoo!, le défaut de sécurité provient d'un logiciel non mis à jour.
Internet, au départ, n'est pas sécurisé, il s'agit simplement d'un ensemble de protocoles de communication. D'ailleurs, les hackers sont généralement équipés de manière très artisanale. Les vendeurs doivent en tenir compte, sous peine de passer pour de mauvais professionnels, face à des clients confrontés à une législation inadéquate et une indemnisation nulle.
Certes, ces dispositifs rendent l'achat plus compliqué. C'est la dialectique du glaive et du bouclier: les e-commerçants peuvent s'inspirer des acteurs de téléphonie, plus avancés, qui utilisent des boutons avec des empreintes digitales, des identifications à double facteur. Plus le processus est sécurisé, plus il est long, donc moins il performe en termes d'achat.
- Que peuvent la justice française et la Cnil pour protéger les données personnelles des internautes?
Un consommateur français qui se serait abonné aux services de Yahoo! dans l'Hexagone n'aurait aucune possibilité de recours face à Yahoo! France. En effet, il est très probable qu'en 2014, Yahoo! France ait transmis légalement les données des utilisateurs français à sa maison-mère aux Etats-Unis, en vertu du Safe Harbor, de clauses contractuelles types ou d'un consentement particulier. Il serait illusoire pour les internautes d'entamer une procédure contre Yahoo! Inc.
Lire aussi : Forrester dévoile ses prédictions 2025 sur le marketing, le retail, le CX, l'e-commerce...
Nous n'avons pas encore, dans le droit de l'Union européenne, d'obligation de sécurisation des données. Le nouveau règlement communautaire prévoit une telle obligation, sanctionnée par des amendes administratives qui peuvent se monter jusqu'à 2% du chiffre d'affaires mondial de l'opérateur concerné ou 10 millions d'euros, la somme la plus élevée des deux pourra être retenue.
En France, depuis août 2011, il existe une obligation particulière de sécurisation des données sanctionnée pénalement, mais uniquement pour les prestataires de service de communication électronique en ligne français (article 34 bis, loi Informatique et libertés). Pour une affaire telle que celle qui concerne Yahoo!, tous les internautes français sont donc démunis.
Si l'opérateur avait été français, c'est la Cnil qui dénoncerait les faits au parquet, dans le cadre de la loi Informatique et libertés (protection des données personnelles), et le parquet poursuivrait. La Cnil peut avoir des sanctions pécuniaires vis-à-vis d'un opérateur français en cas de plaintes massives. Un particulier peut également saisir le parquet en "citation directe" mais il lui appartient alors d'apporter la preuve du non-respect de l'obligation de sécurisation des données. La Cnil n'a qu'un pouvoir d'enquête et de sanctions à son niveau, les sanctions pénales étant déclenchées par le parquet.
En dehors de la procédure pénale, l'indemnisation des victimes dépend du volet civil. C'est au plaignant d'apporter la preuve de son préjudice. S'il n'y a pas eu d'utilisation frauduleuse du compte bancaire, cette preuve est très difficile à apporter. Hormis Apple, peu d'opérateurs internet collectent des données bancaires. Un préjudice tel que celui subi par les utilisateurs de Yahoo! en France est évalué entre zéro et pas grand-chose. Les préjudices d'atteinte à l'image de marque, à la réputation, à la vie privée, sont généralement très faibles en droit civil.
Avocat au Barreau de Paris depuis 1993, Marc-Antoine Ledieu est spécialisé en rédaction de contrats et en conseil pour des projets BtoB liés aux nouvelles technologies et à l'e-commerce.Il conseille principalement des entreprises pour la protection et la commercialisation de leurs actifs immatériels (logiciels, bases de données électroniques, traitements des données personnelles et des métadonnées). Marc-Antoine Ledieu enseigne le droit des contrats en Master II "Droit du Multimédia et de l'Informatique" à Paris II Panthéon-Assas. Il est membre de EuroCloud France et de la commission "Droit des marchés émergents" du Barreau de Paris. Auteur de nombreux articles juridiques sur le logiciel et la protection des données, il a tenu la chronique mensuelle d'actualité de la revue "Communication commerce électronique" de 2004 à 2009. Il anime un blog sous forme de bandes dessinées, qui traite de l'actualité du droit des contrats BtoB et des nouvelles technologies.
Pour aller plus loin:
L'abrogation du Safe Harbor est paradoxalement un cataclysme et un épiphénomène
États des lieux de la sécurité des sites e-commerce