Heartbleed : la CNIL contrôlera les sites web
La CNIL a publié un guide à l'intention des sites web afin de les assister dans la correction du bug Heartbleed. Dans le même temps, la commission a indiqué qu'elle contrôlera si la brèche a bien été colmatée.
Révélé la semaine dernière, le bug Heartbleed dans certaines versions du logiciel OpenSSL a reçu une couverture médiatique sans précédent.
Depuis la découverte de cette vulnérabilité, des efforts ont été entrepris pour vérifier les sites potentiellement vulnérables, lister les appareils nécessitant un correctif et diffuser des conseils pour assister les usagers. Naturellement, la commission nationale de l'informatique et des libertés, en tant qu'autorité chargée de contrôler la sécurité des données personnelles, ne pouvait pas passer à côté de ce sujet.
Ce jeudi, la CNIL a donc publié un article synthétisant les actions à entreprendre pour se débarrasser d'Heartbleed. Du côté du site web, le responsable du traitement doit procéder à la mise à jour des serveurs vulnérables, révoquer les clés et certificats utilisés avant de les renouveler et, enfin, inviter les usagers à modifier leur mot de passe, au cas où celui-ci aurait été dérobé via Heartbleed.
Cette faille n'est pas du tout à prendre à la légère. Outre le danger qu'elle fait peser sur les usagers, elle "est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement" si ce dernier n'agit pas avec diligence pour la corriger.
La commission ajoute qu'elle vérifiera si cette brèche a effectivement été colmatée "dans le cadre des contrôles qu’elle opère régulièrement auprès des responsables de traitement. Elle sera en mesure de procéder à une série de contrôles visant spécifiquement les sites les plus exposés qui ne se seraient pas mis en conformité".
( photo )