Suisse
Informatique

Vous êtes victimes de piratage? Voici comment vous en sortir

Image
image: shutterstock

Vous vous êtes fait pirater vos données? Voici comment vous en sortir

Suite au piratage de la commune de Rolle (VD), deux experts, l'un ingénieur, l'autre avocat, fournissent à watson leurs bons conseils pour limiter au maximum les risques de hacking et pour agir au niveau légal dans le cas où vous seriez victime.
26.08.2021, 06:0426.08.2021, 16:26
Plus de «Suisse»

Comme l'a révélé watson, l'administration communale de Rolle, dans le canton de Vaud, a été victime au mois de juin d'une attaque de pirates informatiques (des hackers). Selon le quotidien Le Temps, les données de plus de 5000 habitants ont été mises en ligne sur le darknet, un réseau parallèle où atterrissent notamment des informations volées. Nous avons demandé à deux spécialistes des nouvelles technologies: 1) comment se prémunir au mieux contre de telles attaques; 2) comment y réponde légalement.

Techniquement, comment éviter la catastrophe?

Paul Such a pour habitude de dire: «La question n'est pas de savoir si vous allez vous faire pirater vos données, mais quand cela va arriver.» Directeur-fondateur d'Hacknowledge, société vaudoise spécialisée en cybersécurité, Paul Such nous dit en gros que cela ne sert à rien de pleurer sur le lait renversé. Que ce qui importe c'est de tout faire pour éviter qu'il ne se renverse. «La sécurité, dit-il, ça s'anticipe.» Il s'agit de ne pas faciliter le boulot des hackers. Oui, mais comment faire? Comme ça (entre autres):

Mesures techniques

  • Changer de mot de passe pour vos différentes connexions: banque, assurances, commerces en ligne, club de sport, réservations de voyages, sites coquins, etc. Cette diversification des mots de passe vous permet de limiter les risques: a) si d'aventure vous vous faites hacker personnellement; b) dans le cas où une institution disposant légalement d'une partie de vos données (l'administration communale à Rolle) est victime de piratage: les hackers ne pourront en principe pas obtenir plus de données vous concernant que celles en possession de l'entité en question.
  • Créer des adresses e-mail «poubelles» (qui ne serviront qu'une fois). Cette étape vous permet de recevoir un e-mail confirmant votre inscription à un site. Par exemple un site de cuisine comme marmiton.com. Une fois inscrit, vous pourrez directement vous connecter via votre identifiant et votre mot de passe.

Mesures organisationnelles

  • On touche ici à la politique de sécurité des entreprises, publiques ou privées. Il faut convenir de ce que peuvent faire les employés avec le réseau auquel ils ont accès au sein de leur boîte. Là encore, le maître-mot est: limiter les risques. Paul Such plaide pour l'engagement, en tout cas la consultation, par les entreprises, de spécialiste en cybersécurité. C'est là une des missions de sa société, Hacknowledge.
  • Paul Such recommande aux entreprises comme aux particuliers d'effectuer régulièrement des sauvegardes de leurs données. En effet, avec le hackers, le danger n'est pas seulement de se faire pirater ses petits et grands secrets, c'est de les perdre à jamais.

Légalement, quels sont vos droits?

watson a posé des questions à Nicolas Capt, avocat spécialisé dans les nouvelles technologies.

  • De quels instruments légaux dispose un citoyen dont les données se retrouvent sur le darknet suite à un hacking?
    Le Code pénal suisse contient un catalogue d’infractions informatiques dont, notamment, la soustraction de données et l’accès indu à un système informatique, de sorte qu’une enquête pénale pourrait être ouverte de ce chef. Sur le plan civil, cet incident pourrait aussi constituer une forme d’atteinte à la personnalité au sens de l’art. 28 du Code civil. Quant au possible usage malveillant ultérieur des données subtilisées, il sied de rappeler que l’usurpation d’identité, à savoir l’usage abusif de l’identité d’une tierce personne, n’est à ce jour pas réprimée par le Code pénal suisse. Elle le sera toutefois lors de l’entrée en vigueur de la nouvelle loi fédérale sur la protection des données. Pour l’heure, l’usurpation d’identité n’est punie qu’indirectement, soit à l’occasion d’autres infractions commises concomitamment (par exemple une escroquerie).
  • Un citoyen lésé peut-il demander des dommages et intérêts à l'administration hackée? Aux hackeurs eux-mêmes?
    Les entités, privés ou publiques, qui détiennent des données personnelles sont responsables de leur protection. C’est l’esprit des lois de protection des données, que ce soit celle applicable aux organes fédéraux et aux entités privées (la LPD) ou celles, cantonales, applicables aux entités publiques comme les communes.
    De façon générale, le principe est que les données personnelles doivent être protégées contre tout traitement non auto­risé par des mesures organisationnelles et techniques appropriées. Cela étant, la commune pourrait sans doute se défendre en démontrant, le cas échéant, sa diligence par le biais des mesures organisationnelles et techniques en place, pour peu qu’elles puissent être considérées comme suffisantes.
    Avant de tirer à boulets rouges sur la commune, il faut aussi se rappeler que la sécurité informatique n'est pas absolue et qu’elle procède, à l’instar de la course à l’armement, d’une sorte de mise en conformité dynamique complexe. Dans ce genre de cas, le bât blesse souvent dans la communication de crise. Il y a une certaine tendance à relativiser la portée de l’incident. Or elle a souvent l’effet contraire.
    Dans un tel cas, la double question des dommages et intérêts (qui nécessitent que soit prouvé un dommage économique et son lien de causalité avec l’incident) et du tort moral m’apparait assez illusoire. L’urgence est à mon sens de rétablir la situation, de communiquer correctement et de prendre toutes les mesures nécessaires.
  • Un citoyen peut-il demander à ce que ses données transmises à une administration ou toute autre entité soient cryptées, anonymisées?
    L’anonymisation des données n’a de sens que si le but du traitement le permet. Or une commune a précisément besoin de données personnelles individualisées pour effectuer les traitements nécessaires.
«En revanche, s’agissant des données dites sensibles (par exemple celles sur l’état de santé ou des condamnations judiciaires), il siérait à mon sens qu’elles soient chiffrées»
Nicolas Capt
Le bêtisier des Bouffistas
Video: watson
0 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
Il a une solution simple pour financer la 13ᵉ rente AVS
Les revenus de l'AVS sont imposables: la Confédération et les cantons recevront ainsi plus de 700 millions d'impôts supplémentaires grâce à la 13ᵉ rente AVS. Les syndicats veulent récupérer cet argent pour l'AVS. Un conseiller national PLR va également dans cette direction.

«Le fait est que la 13ᵉ rente AVS fait entrer de l'argent du contribuable supplémentaire dans les caisses des cantons», déclare Daniel Lampart, «ce n'est certainement pas ce que les votants avaient l'intention de faire». L'économiste en chef de l'Union syndicale suisse agite donc des plans pour récupérer cet argent pour le financement à long terme de l'AVS.

L’article