Hertz fait les frais de la loi Lemaire : 40 000 euros d’amende

Pour avoir insuffisamment sécurisé les données des adhérents à son programme de fidélité, le loueur de voitures Hertz est sanctionné d’une amende par la CNIL. Une première permise par la loi pour une République numérique.

Deux poids, deux mesures ? Non, plutôt les effets de l’entrée en application de la loi Lemaire, qui a renforcé les sanctions à l’encontre des entreprises qui ne sécurisent pas suffisamment les données personnelles de leurs clients. Hier, le site d’autopartage Ouicar recevait de la part de la CNIL un simple avertissement public malgré des erreurs de sécurité grossières, exposant les données de plusieurs centaines de milliers de personnes. Aujourd’hui, c’est le loueur de véhicules Hertz qui est sanctionné par cette même Commission de 40 000 euros d’amende pour un défaut de sécurisation des données des adhérents à son programme de fidélité.

Si la faille de sécurité chez Hertz – qui résulte d’une erreur d’un sous-traitant lors d’un changement de serveur – apparaît moins sévère que celle de Ouicar, la loi pour une République numérique est entretemps passée par là. « C’est la première fois qu’une sanction pécuniaire est prononcée pour une violation de données sous l’empire de la loi pour une République numérique entrée en vigueur en novembre 2016. Avant cette loi, seul un avertissement pouvait être décidé dans un tel cas », écrit la CNIL.

Hertz sanctionné et non son sous-traitant

L’affaire Hertz remonte au 15 octobre dernier quand la CNIL est alertée par nos confrères de Zataz.com (également à l’origine de la découverte des failles de Ouicar) d’un bug dans l’application Cartereduction-hertz.com. L’URL de création de cartes permettait d’accéder, adhérent par adhérent, aux noms, prénoms, dates de naissance, adresses postales, mails et numéros de permis de conduire des membres de ce programme. « La délégation a ainsi pu accéder aux données à caractère personnel de 35 327 personnes », écrit la CNIL dans sa délibération du 18 juillet. Résultant de la suppression involontaire d’une ligne de code en juin 2016 par un sous-traitant de Hertz, la faille est rapidement corrigée. Et le sous-traitant assure, sur la base d’une analyse des logs du serveur, qu’aucun téléchargement massif de données n’a eu lieu.

Malgré ces éléments rassurants et un audit rapidement commandé par Hertz sur la sécurité de son sous-traitant, la Commission a bien décidé de sanctionner financièrement le loueur de véhicules – et non son prestataire -, considérant que « la violation de données résulte d’une négligence de la société dans la surveillance des actions de son sous-traitant ». En particulier, la formation restreinte de la CNIL critique l’absence de cahier des charges rédigé par Hertz pour le développement du site et le fait que la société n’ait pas vérifié que la mise en production avait été précédée d’un protocole complet de test, alors qu’il s’agissait d’une opération touchant aux serveurs communiquant avec le prestataire de paiement. Soit un pan sensible de l’application.

L’épée de Damoclès du GDPR

Même si la CNIL relève « la grande réactivité de la société », elle n’en a pas moins décidé de rendre publique la sanction, « au regard du contexte actuel dans lequel se multiplient les incidents de sécurité ». Notons enfin que, pour sa défense, Hertz n’a pas cherché à se cacher derrière son petit doigt. Contrairement à OuiCar qui, pour se dédouaner, a tenté de faire avaler à la CNIL que l’alerte donnée par nos confrères de Zataz.com « avait un caractère frauduleux dès lors que ce dernier ne bénéficie pas du statut protecteur des lanceurs d’alerte », comme le montre la délibération de la formation restreinte de la CNIL datant du 20 juillet.

Un argument rapidement balayé par la Commission, qui semble bien décidée à utiliser l’arme de la sanction pour pousser les entreprises à être plus rigoureuses dans la protection des données personnelles de leurs clients ou employés. Et l’entrée en vigueur du GDPR en mai prochain – règlement européen qui prévoit un nouveau renforcement des sanctions financières (4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros) – lui fournira bientôt des munitions supplémentaires.

NotPetya : certaines victimes vont pouvoir récupérer leurs données

Des erreurs dans l’implémentation d’un protocole de chiffrement devraient permettre à certaines victimes de NotPetya de récupérer leurs données. Mais la procédure reste très technique.

Déchiffrer les données prises en otage par NotPetya, ce malware qui, parti d’Ukraine, a dévasté de nombreuses entreprises (Saint-Gobain, Maersk, Mondelez, WPP…) à partir du 27 juin ? Des chercheurs ont en effet découvert une technique pour récupérer des fichiers chiffrés par l’attaque du mois dernier.

Le malware NotPetya, le nom donné par Kaspersky à la nouvelle menace, est basé sur un ransomware connu, Petya, mais son code a été modifié de telle sorte que les systèmes qu’il infecte ne peuvent pas être entièrement restaurés. Plus qu’un véritable ransomware, NotPetya est plutôt un ‘wiper’, une souche destructrice ; les assaillants n’ayant visiblement aucune intention de livrer la clef de déchiffrement aux utilisateurs, même après paiement de la rançon.

Un chiffrement trop faible avec Salsa20

La société Positive Technologies, spécialisée dans la cybersécurité, a constaté que, en raison d’erreurs dans la manière dont le logiciel malveillant effectue le chiffrement des données qu’il prend en otage, une récupération des fichiers peut parfois être effectuée sans avoir accès à la clé des assaillants.

Dans les cas où NotPetya a obtenu des privilèges d’administrateur, il chiffre les données de ses victimes à l’aide de l’algorithme Salsa20. Selon Positive, en raison d’une erreur de mise en œuvre de ce dernier, seule la moitié des octets de chiffrement sont utilisés, ce qui rend le système plus facile à casser.

Positive assure que cette erreur, combinée à quelques autres approximations dans la programmation, permet d’envisager la mise en place d’une technique de déchiffrement des données prise en otage. « Beaucoup de données différentes sont chiffrées à l’aide des mêmes fragments clés », écrit Dmitry Sklyarov, responsable de reverse engineering de Positive dans un billet de blog. « Ce qui permet de mettre en œuvre une attaque triviale basée sur un texte en clair connu des victimes », autrement dit de forcer le verrou mis en place par les assaillants.

NotPetya sans droit d’admin : peu d’espoirs

Si la technique manuelle que dessine Positive est hautement technique et ne serait pas accessible à la plupart des utilisateurs, Sklyarov explique que des outils pourraient être développés pour mener à bien cette opération de façon automatisée. « Nous pouvons nous attendre à ce que les prestataires de services puissent récupérer plus de données que ce qui a été possible jusqu’à aujourd’hui », écrit-il.

En revanche, si NotPetya n’a, lors de l’infection, pas obtenu de droits d’administrateur, il a chiffré les données à l’aide d’une technique différente. Une clé est alors nécessaire pour récupérer les fichiers pris en otage, assure Sklyarov, notant qu’il n’y a aucun moyen de savoir dans combien de cas Salsa20 a été utilisé. Donc la proportion d’utilisateurs pour qui il reste un espoir.

Petya : un lien avec la France et un acte de guerre selon l’OTAN

Suite de l’affaire Petya. L’OTAN pourrait considérer la cyberattaque comme un acte de guerre. De plus, le malware comporte des fichiers issus des recherches d’un Français.
Une semaine après avoir tourneboulé l’IT de plusieurs sociétés dans le monde, Petya n’en finit pas d’intriguer et d’interroger. En fin de semaine dernière, plusieurs spécialistes de la sécurité ont constaté que sous le vernis d’un ransomware, Petya ou NotPetya, était un engin destructeur avec aucun moyen pour retrouver les données chiffrées.
Une chose est sûre, Petya ou NotPetya, fait avancer les questions de cyberdéfense au sein de l’OTAN. Selon CNBC, le centre d’excellence et coopératif de cyber défense (CCD COE) de l’organisation a récemment fait une déclaration expliquant que la cyberattaque Petya était l’œuvre d’un Etat ou d’un groupe lié à un Etat. Face à ce développement, la cyberattaque doit être considérée comme un acte de guerre susceptible de déclencher l’article 5 du traité de Washington, qui oblige les alliés de l’OTAN à y répondre.
Tomáš Minárik, chercheur en droit au CCD COE, constate, « comme des systèmes gouvernementaux ont été ciblés et que l’attaque peut être attribuée à un Etat, cela pourrait constituer à une violation de souveraineté ». Et d’ajouter : « En conséquence, il peut y avoir la constitution d’un fait internationalement illicite ouvrant la capacité aux Etats ciblés de répondre avec des contre-mesures. » Dans son analyse, le centre de recherche basé en Estonie souligne que les institutions centrales étaient visées et constate que « le malware n’est pas très complexe, mais suffisamment compliqué et coûteux  pour ne pas avoir été préparé et exécuté par de simples pirates. Il ne s’agit pas non plus de cybercriminels, car la collecte de rançon, mal conçue, ne suffit pas à payer le coût de l’opération ».
Un lien surprenant avec la France
Dans l’analyse du code de Petya, un chercheur français, aujourd’hui directeur de « projets sécurité » à la Banque de France, a retrouvé une partie de son travail. C’est l’histoire que nous raconte Le Point. Benjamin Delpy a, en 2011, créé le programme  Mimikatz, qui exploite certaines failles de l’annuaire Active Directory de Microsoft. Il avait alors informé la firme de Redmond du problème, mais elle avait minimisé la brèche en soulignant l’obligation d’avoir les droits administrateurs.
Or les créateurs de Petya ou NotPetya se sont servis des travaux de Benjamin Delpy pour se propager sur des milliers de PC. Le chercheur, sous le pseudonyme @gentilkiwi, a confirmé sur Twitter, que « certains fichiers sont une recompilation minimaliste ou limitée d’une version de mimikatz ». Il complète son propos en sermonnant les auteurs de Petya. « Les bad boys n’ont pas respecté Readme. md. Il s’agit d’un développement personnel, veuillez respecter cette philosophie et ne l’utilisez pas pour de mauvaises actions. »