Sécurisation des applications Web : Brèches sur des informations confidentielles

Les informations confidentielles sont des données ne devant en aucun cas être dévoilées à des tiers autres que ceux qui disposent des autorisations pour les consulter ou les traiter.

Parmi les données confidentielles, on trouve :

D’après la CNIL, une donnée à caractère personnel (DCP) est toute information se rapportant à une personne physique identifiée ou identifiable. Une personne physique peut être identifiée directement ou indirectement à partir du croisement d’un ensemble de données. Parmi les informations personnelles, certaines données sont qualifiées de sensibles car révélant une appartenance politique ou syndicale, des problèmes de santé ou toute autre information qui pourrait entraîner une discrimination.

Quelques exemples :

• numéro de sécurité social ;
• traitement pris par un patient ;
• identifiants de connexion ;
• informations sur des moyens de paiement…

Il s’agit notamment des données techniques relatives à des configurations systèmes et réseaux qui ne doivent pas être divulguées au risque d’être exploitées de manière malveillante.

Quelques exemples :

• fichier de configuration décrivant l’architecture d’un serveur Web ;
• plan du réseau d’une entreprise avec l’adressage IP ;
• détails des configurations ;
• code source de certains programmes ;
• tout type d’information sensible pouvant affecter la sécurité du système informatique…

La sécurisation des données confidentielles nécessite de bien appréhender la classification technique suivante :

• Les données au repos : il s’agit des données archivées sur un support et ne faisant pas l’objet d’un traitement.
• Les données en cours de traitement : il s’agit des données qui sont manipulées par un programme effectuant un traitement permettant d’obtenir un résultat.
• Les données en transit : il s’agit des données qui circulent à travers un réseau de communication (filaire ou sans fil).

Une donnée peut passer d’une catégorie à une autre. Cette classification n’est pas spécifique aux données confidentielles mais est nécessaire pour appliquer les traitements de sécurisation adéquats.

Les principaux évènements redoutés liées à une carence de sécurité sur les données confidentielles sont les suivants :

• accès illégitime aux DCP et aux autres informations confidentielles ;
• modification non désirée des DCP et des autres informations confidentielles ;
• disparition des DCP et des autres informations confidentielles ;
• exploitation malveillante des informations confidentielles obtenues.

Ces évènements redoutés peuvent se manifester via les menaces suivantes :

• espionnage d’un matériel permettant d’observer des données interprétables tels que des identifiants de connexion ;
• détournement d’usage d’une application permettant d’obtenir de manière illégale des données, d’élever ses privilèges et de croiser des données ;
• analyse d’un logiciel via l’étude d’un code source permettant de déterminer les défauts exploitables, de tester des réponses d’une base de données à des requêtes malveillantes ;
• attaque de type MITM (Man In The Middle) via un canal informatique permettant de modifier ou d’ajouter des données à un flux réseau et d’effectuer des rejeux (réémission d’un flux intercepté) ;
• dépassement des limites d’un logiciel permettant de substituer un dispositif légitime par un dispositif illégitime de captation des données ;
• limites d’une personne : manipulation et ingénierie sociale permettant de révéler des informations et de les croiser afin d’obtenir des informations confidentielles.

Les conséquences d’une brèche sur la confidentialité des informations sont les suivantes :

• usurpation d’identité permettant d’effectuer des opérations frauduleuses : envoi de mail mensongers, fraudes financières… ;
• impact sur l’image et la vie privée des salariés ;
• préparation et mise en place d’une attaque sur le réseau informatique suite aux informations recueillies, mise en place d’une porte dérobée (backdoor) permettant à l’attaquant de revenir sur le système cible ;
• perte d’argent pour l’entreprise suite aux opérations frauduleuses commises ou suite aux condamnations judiciaires dues à des négligences sur le stockage et le traitement des données confidentielles ;
• atteinte à la réputation de l’entreprise, les clients préférant s’adresser à un concurrent qui sécurise mieux les données confidentielles ;
• destruction des données pouvant compromettre la survie de l’entreprise ;
• impacts organisationnels liées aux conséquences sur les services des fuites constatées ;
• impact catastrophique si l’organisation victime est classée comme Opérateur d’Importance Vitale (OVI). Un opérateur d'importance vitale (OIV) est, en France, une organisation identifiée par l'État comme ayant des activités indispensables à la survie de la nation ou dangereuses pour la population (https://fr.wikipedia.org/wiki/Op%C3%A9rateur_d%27importance_vitale) .

La réglementation sur l’archivage et la protection des données prévoit des limitations de durée pour la conservation de ces données et prévoit aussi que des mécanismes de protections adaptés soient mis en place.

Concernant la durée de conservation des données, les principaux chiffres associés au RGPD (Règlement Général sur la Protection des Données) sont :

• 3 ans : les données personnelles des personnes inactives depuis 3 ans doivent être supprimées ;
• 13 mois : il faut redemander tous les 13 mois le consentement des visiteurs pour le traitement des cookies ;
• 1 mois : délai pour traiter une demande d’accès de rectification ou de suppression de donnée personnelle.

Concernant la protection de ces données, on peut citer les articles suivants :

• article 32 du RGPD sur l’obligation d’appliquer un traitement sécurisé aux données à caractère personnel ;
• article 33 du RGPD sur la notification à l’autorité de contrôle d’une violation des données à caractère personnel ;
• article 35 du RGPD sur la mise en place d’une analyse d’impact relatif à la protection des données (AIPD) ;

Pour éviter une brèche sur les données confidentielles, les bonnes pratiques de réflexion suivantes peuvent être mises en place :

• Recenser les données confidentielles : fichiers, DCP…
• Classer le trafic des données selon les protocoles utilisés : HTTP, HTTPS, SMTP…
• S’assurer que le trafic interne et externe au réseau est sécurisé eu égard aux critères DIC (confidentialité, intégrité et disponibilité) notamment en ce qui concerne les données en transit qui font l’objet d’une sauvegarde.
• Le réseau de l’entreprise fait-il appel à des algorithmes de chiffrement ou des protocoles non faiblement sécurisé et obsolètes ?
• S’assurer d’une gestion sécurisée des clés et les certificats utilisés par l’entreprise, par exemple via des mécanismes de révocation quand cela est nécessaire.
• Appliquer des contrôles de sécurité sur les données confidentielles en fonction de leur état (repos, transit, traitement).
• Ne pas stocker de données ou des fichiers confidentiels inutiles aux traitements visés. Seul ce qui est vraiment utile doit être stocké.
• Désactiver les caches pour les réponses des serveurs qui contiennent des informations confidentielles.
• Stocker les mots de passe de manière hachée avec une fonction de salage.
• Utiliser les technologies de confidentialité persistante PFS (Perfect Forward Secrecy) et HSTS (HTTP Strict Transport Security) sur les sites Web. *