Pour gérer vos consentements :

[Tribune] Pirater un site web devient légal

Publié par Mohammed Boumediane le | Mis à jour le

Depuis le 18 décembre 2013, une loi permet de "fouiller" en toute impunité dans un site web à la recherche de failles de sécurité. Les TPE et PME sont directement menacées.

La cybercriminalité a de beaux jours devant elle. Même si la sécurité des données Internet semble être l'un des enjeux majeur de cette nouvelle année, les bonnes résolutions sont encore à prendre.

En effet, depuis le 18 décembre 2013, l'article de loi n°2013-1168 - art. 25 permet littéralement, à n'importe qui, de "fouiller" en toute impunité dans un site ou une application web à la recherche de failles de sécurité. Cette pratique, digne des hackers, devient donc tout à fait légale.

D'un côté, c'est une excellente nouvelle. Les internautes français sont de plus en plus intéressés et informés sur les risques liés à la sécurité de leurs données communiquées sur les sites web. Tester est donc un droit, y compris tester la sécurité d'un site sur lequel on navigue comme les multiples sites d'e-commerce, bancaires ou autres.

De l'autre côté, c'est une effroyable nouvelle. Car les données des sites qui sont aujourd'hui non sécurisés, notamment ceux des petites entreprises, peuvent tomber entre les mains de personnes très malveillantes. En effet, 80% des sites web français sont criblés de failles critiques qui permettent l'accès aux bases de données des clients, à leurs informations personnelles, à la configuration des serveurs, aux mots de passe et encore bien d'autres informations sensibles.

De plus, les entreprises qui ne protègent pas leurs données risquent des amendes pouvant jusqu'à 300 000 € et de 3 à 5 ans d'emprisonnement, selon la directive européenne contre la cybercriminalité entrée en vigueur en septembre 2013 (n° 2013-40/UE du 12 août 2013).

Surtout, au-delà des coûts et des poursuites judicaires, c'est également l'image de l'entreprise qui est directement touchée. En effet, ces attaques peuvent engendrer une perte totale de confiance de la part des partenaires et clients, un référencement sur les listes noires des antivirus, ainsi qu'un blocage par les moteurs de recherche, ce qui impactera la visibilité et la pérennité du site sur le web.

Cette loi, qui vient de changer, va surement redessiner le web. Les sites vont être dans l'obligation de mieux sécuriser leurs données et les informations de leurs internautes. Une sécurisation qui, jusque-là, était réservée aux seuls grands portails internet.

Les sociétés doivent aujourd'hui réclamer plus de sécurité et des certifications parfaitement identifiables par les internautes pour apporter la preuve que leur site est bel et bien sécurisé à l'instant où l'on navigue dessus. Ces certifications nécessitent des analyses quotidiennes, car les failles et les attaques des hackers peuvent apparaitre à n'importe quel moment.

Les pirates les plus redoutables étant ceux que récupèrent les données sensibles et qui effacent toutes traces de leur passage sans que personne ne s'en aperçoive. Certains vont même jusqu'à corriger les failles de sécurité (en se laissant quand même une petite porte d'accès dérobée pour revenir plus tard). Bonne ou mauvaise, la nouvelle loi impose donc de prendre une bonne résolution pour 2014 : la sécurité avant tout.

A propos de Mohammed Boumediane

Ingénieur en sécurité d'information et cryptologie, Mohammed Boumediane est le p-dg et fondateur de Ziwit SAS depuis 2011, société éditrice de HTTPCS. Mohammed Boumediane est également Professeur vacataire dans plusieurs grandes universités (Tel-Aviv University, American University de Beyrouth, Faculté des Sciences de Rabat) et consultant en cyber-sécurité, cybercriminalité, cyber-armement et cyber-guerre pour plusieurs pays membres de l'OTAN.

La rédaction vous recommande