Quand les stars déchues du web deviennent un risque majeur...

Yahoo, une fois de plus...

Yahoo a encore très récemment communiqué à ses utilisateurs que leurs comptes pouvaient avoir été victimes d'une attaque... Une fois de plus Yahoo parle d'acteurs étatiques, mais est-ce vraiment le cas ? Aucune preuve n'est apportée pour appuyer ce point. Utiliser cet argument est une stratégie de communication assez efficace pour expliquer que rien ne pouvait être fait pour empêcher cette attaque. Une troisième alerte grave en 6 mois, cela commence à faire beaucoup, voir beaucoup trop pour garder la confiance des utilisateurs... Et même si le rachat par Verizon ne semble pas remis en cause, le prix d'acquisition a (trop légèrement) chuté.

Au-delà de cet énième cas Yahoo, cet incident met en lumière un risque latent que représentent les stars déchues du web pour la sécurité de leurs utilisateurs.

...mais un risque industriel à l'échelle du web

En effet, beaucoup de structures, pas uniquement Yahoo ou Myspace, historiquement leaders de leur marché, traversent des difficultés financières importantes. Elles n'ont plus les moyens d'investir suffisamment pour résister face à une menace en croissance, aussi bien en équipements de sécurité que dans des équipes pointues pour surveiller le SI et réagir si des attaquants y pénètrent.

En regard, les utilisateurs ne pensent jamais à fermer leurs comptes, à supprimer leurs données, à changer leurs questions secrètes... Et les sociétés en question ne vont certainement pas le faire, leur base d'utilisateurs restant souvent leurs derniers actifs avec de la valeur.

Alors, comme lors du dépôt de bilan d'une entreprise industrielle où des frais de dépollution devraient être prévus, des opérations similaires pourraient-elles être envisagés dans le cyberespace ? En particulier lorsque le risque de vol de données ou d'atteintes à la vie privée devient particulièrement important.

Une réponse réglementaire ?

Le règlement européen sur la protection des données (GDPR) et son droit à l'effacement sont une partie de la une solution à cette problématique. Il précise clairement les obligations des responsables de traitements lors d'une action volontaire des utilisateurs ou de l'expiration des délais de conservation. Mais encore faut-il que la structure existe, qu'elle ait les moyens de le faire et que la sanction reste significative pour elle.

Peut-être qu'une réglementation plus stricte devrait alors voir le jour et permettre un droit d'intervention manu-militari ? Même si cela peut paraître une bonne idée de prime abord, il ne faut pas négliger les risques d'ingérence. Mais il faut avoir en tête que cette action est techniquement très complexe et pas évidente à réaliser avec un bon degré de certitude vu la complexité des systèmes d'informations.

Avant que les états ne réagissent, n'oublions pas que notre passé numérique est certainement stocké en beaucoup plus d'endroits que nous ne le pensons... N’hésitons pas à faire un peu de ménage, le printemps arrive bientôt !