L’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) a récemment publié plusieurs recommandations, dont les responsables de traitement de données à caractère personnel devraient tenir compte. L’une d’entre elles est relative à la télé-assistance, technique permettant à un opérateur de prendre le contrôle d’un ordinateur afin d’assister son utilisateur, par exemple, pour l’installation d’un logiciel.
La télé-assistance constitue une vulnérabilité, dans la mesure où l’opérateur dispose d’un accès légitime et particulièrement large à l’ordinateur de l’utilisateur. L’ANSSI souligne également que l’utilisation des journaux de connexion d’une application de télé-assistance peut être à l’origine d’une fuite d’informations sensibles.
Eu égard au risque pouvant résulter de l’exploitation de ces vulnérabilités, l’ANSSI a formulé les 12 recommandations suivantes :
- Respect du contexte de l’utilisateur : L’opérateur doit disposer des mêmes droits que l’utilisateur, dont le mot de passe ne doit pas être communiqué à l’opérateur ;
- Supervision des opérations effectuées : L’utilisateur doit en permanence être en mesure de voir les actions de l’opérateur ;
- Consentement de l’utilisateur : L’opération de télé-assistance doit avoir été acceptée par l’utilisateur ;
- Authentification de l’opérateur : idéalement à l’aide de certificats électroniques individuels, d’un dispositif d’authentification forte ou à défaut au moyen d’un mot de passe conforme à une autre recommandation de l’ANSSI, en date du 13 janvier 2017 ;
- Limitation des comptes des opérateurs : La télé-assistance ne doit être réalisable que par des opérateurs dûment autorisés ;
- Vérification de l’identité de l’opérateur : l’utilisateur télé-assisté doit être en mesure de vérifier l’identité de l’opérateur qui lui est présentée préalablement à l’acceptation de la télé-assistance ;
- Lancement de l’application de télé-assistance : il doit s’agir d’une application pouvant être démarrée par l’utilisateur plutôt qu’un service lancé automatiquement au démarrage de l’ordinateur ;
- Maintien en condition de sécurité : La solution de télé-assistance doit être à jour de ses correctifs de sécurité en permanence, et mise à jour sans délai dès lors qu’une version plus sécurisée est disponible ;
- Les postes de télé-assistance doivent être dédiés à ces opérations, isolés d’Internet et en permanence à jour de leurs correctifs de sécurité ;
- Fonctions de sécurité portées par la solution : La solution de télé-assistance doit reposer sur des protocoles sécurisés, permettant une authentification mutuelle entre les postes de l’opérateur et de l’utilisateur, un échange de clés de session éphémères à la manière de TLS ou d’IPsec et une protection contre le rejeu ou les attaques de type « homme du milieu » ;
- Restriction des adresses IP des opérateurs : La télé-assistance ne doit pouvoir être opérée que depuis des adresses IP sources bien identifiées comme étant celles des postes des opérateurs ;
- Journalisation des opérations : idéalement, les opérations de télé-assistance devraient être distinguées des autres actions effectuées sur le poste de travail.
Concrètement, cette recommandation va essentiellement concerner les prestataires de service informatique et fournisseurs de solution qui devront mettre en place des solutions conformes à cette recommandation.
Ceci sera d’autant plus vrai avec l’entrée en vigueur du Règlement Général relatif à la Protection des Données (RGPD), le 25 mai 2018. En effet, à compter de cette date, les prestataires et fournisseurs, qualifiés de « sous-traitants », pourront voir leur responsabilité engagée pour manquement à la confidentialité des données.
Les responsables de traitement, quant à eux, devront récupérer auprès de leurs sous-traitants les informations relatives aux conditions de sécurité respectées en cas de télé-assistance afin de pouvoir soit les exposer à la CNIL, soit les documenter et les tenir à disposition de l’autorité de protection des données.