​Samedi sécurité : notre santé, Réactions à la publication du 12/05/2024

[Paul Emploi]

J'ai principalement parlé de sauvegarde, car c'est la clé pour limiter la plupart des risques pour nos données. Du moins celles que nous contrôlons.
Mais il y a des données que nous ne contrôlons pas et qui pourtant nous appartiennent, comme nos données de santé.

Change Healthcare: plus d'accès aux médicaments prescrits

Change Healthcare est un énorme acteur Américain dans le domaine de la santé.

Ce 21 février, Change Halthcare a été attaqué par un groupe de hacker qui a réussi a injecter un ransomware, avec pour résultat de bloquer la délivrance de médicaments sous prescription pendant près de 2 semaines.
Les données de santé d'une partie importante de la population Américaine a aussi été captée par les hackers, en bonus.

Vous voulez en savoir plus?


Grindr: le status VIH dans la nature

Grindr est une app mobile se présentant comme "réseau social et chat gay".

Sur cette app mobile il est possible d'indiquer dans un champ réservé de son profil son statut VIH ainsi que la date de son dernier test. Ce sont des informations très sensibles pour ne pas dire plus.

Grindr a eu la bonne idée de partager ces informations avec deux partenaires, en sus de l'ethnicité et de la vie sexuelle de ses usagers.

Grindr a aussi été condamné en Angleterre pour avoir transmis des données d'identification personnelles à des annonceurs incluant la géolocalisation exacte, l'adresse IP, l'âge, le genre et le fait d'être sur Grindr.

Vous voulez en savoir plus?


t:slim : la pompe à insuline contrôlée par une App buggée

t:connect est une app mobile permettant de contrôler la pompe à insuline t:slim pour assurer la délivrance régulière de celle-ci.

Las, la version 2.7 de cette app s'est révélée buggée, avec une tendance au crash. De manière répétée.
Le problème est qu'après chaque crash une nouvelle connexion Bluetooth est établie, pouvant amener la pompe t:slim a être à court de jus et ne plus pouvoir alors injecter l'insuline quand ordonné par l'app, avec des risques évidents pour ses porteurs.

Vous voulez en savoir plus?


OMS: toutes vos données de santé

L'OMS est une organisation non-gouvernementale avec des sources de financement privées et publiques ainsi qu'un aréopage d'experts venus de l'industrie pharmaceutique.

L'OMS propose un traité modifié avec de nombreux changements, expliquant que certains pays pourraient sortir de celui-ci, et que de nombreux citoyens et défenseurs des droits posent et se posent des questions.
Pour ce qui concerne ce sujet, l'OMS voudrait avoir une copie de toutes les données de santé de chaque citoyen ou résident des pays signataires, ce qui élève le risque en créant une cible d'une valeur énorme pour les hackers.

Êtes-vous certains qu'on soit sur la bonne voie avec la numérisation de nos vies et notre santé?

Lien vers le billet original

[dijee]

Merci pour toutes ces infos.
Ca touche là à des aspects fondamentaux de la société "numérique" ( il y a bien d'autres j'imagine )
Mais ça vaut le coup de s'arreter un moment pour y réfléchir

[g4hd]

Êtes-vous certains qu'on soit sur la bonne voie avec la numérisation de nos vies et notre santé?

Bah pas rassuré, en tous cas…
Surtout parce que les entreprises et administrations liées à la Santé sont conduites par des bisounours (pour rester poli).
Il suffit de voir leur niveau d'imprégnation Google et autres réseaux.
Affligeant.

[toinet]

Hello Philippe,
le traité de l'OMS : pourrais-tu donner des sources, STP ? Je lis des choses sur un traité relatif aux pandémies mais rien d'autre.
Merci par avance,
av

Ce message a été modifié par toinet - 12 May 2024, 20:33.

[Paul Emploi]

Hello Philippe,
le traité de l'OMS : pourrais-tu donner des sources, STP ? Je lis des choses sur un traité relatif aux pandémies mais rien d'autre.
Merci par avance,
av

C'est celui-là, qui a été plusieurs fois révisé.

Le fond c'est à la fois l'identité numérique, car là on y passe, avec des restrictions individuelles ou collectives applicables et consultables, le tout géré par une organisation au-dessus des états signataires et qui prend précédence sur nombre de sujets.
Et indépendamment du transfert de souveraineté, celui de nos données d'identification (PII) et de santé, leur stockage et leur accès...

[ades]

tout ça ne donne aucune indication de sources !
quelles sont tes sources ?
Juste parce que ça m'intéresse de savoir d'où viennent les infos colportées ici surtout celles concernat le budget de l'OMS, et ses actions en cours.

Ce message a été modifié par ades - 13 May 2024, 18:02.

[Paul Emploi]

tout ça ne donne aucune indication de sources !
quelles sont tes sources ?
Juste parce que ça m'intéresse de savoir d'où viennent les infos colportées ici surtout celles concernat le budget de l'OMS, et ses actions en cours.

Je te proposerais d'essayer Wikipedia par exemple pour débuter tes recherches, puis le site de l'OMS.

Je n'ai évoqué ni budget ni aucune action ou inaction.

[toinet]

Pour les curieux, un article présentant les arguments et contre-arguments @ https://www.20minutes.fr/sante/4027833-2023...uleve-questions - Rubrique fake off de 20 minutes, datant de 2023.

Point d'entrée pour le projet d'accord sur les pandémies @ https://www.who.int/fr/news/item/28-03-2024...demic-agreement

av

[Guest_coverband_*]

...

Ce message a été modifié par coverband - 15 May 2024, 23:17.

[captaindid]

l'article se termine par cette question:
Êtes-vous certains qu'on soit sur la bonne voie avec la numérisation de nos vies et notre santé?

pour moi il n'y a aucun doute: on ne va pas du tout dans la bonne voie!
des données toujours plus précises sur des populations de plus en plus grandes : ça a un potentiel commercial inouï qui doit bien faire baver des hackers!
ces quantités de données se revendent à prix d'or.
Il est bien connu que notamment les sociétés qui octroient des prêts (organismes de crédit, banques..) font le forcing et sont prête à tout pour pouvoir avoir accès à notre dossier médical avant de nous accorder un prêt: le client sera-t-il encore en vie, ou capable de travailler pour pouvoir honorer toutes les échéances de son prêt?
J'ai un ami, qui a beaucoup d'embonpoint (ce n'est pas qu'il mange trop et qu'il n'est pas sportif, c'est un problème d'ordre médical) qui s'est vu refuser un prêt pour une maison, pas pour des raisons financières, de ce côté là, pas de problèmes à priori, mais pour des raisons justes visuelles: lors de l'entretien, l'employé(e) a bien vu que sa santé n'était pas au top.

on apprend dans la presse que telle ou telle société (banque, grande enseigne commerciale ...) s'est fait pirater des données concernant des millions de clients, mais on nous rassure à chaque fois, il n'y a jamais de données cruciales, comme les coordonnées bancaires. Mon œil!
on y apprend aussi que tel ou tel hôpital est la cible d'un ransomware: toutes les données ont été chiffrées, il doit payer sinon tout disparait!
s'il ne paie pas car il a des sauvegardes non compromises, il y a quand même un préjudice (les services de soins son affectés, remettre le système informatique en place,et nettoyé de tout virus coûte cher) et les hackers ont quand même été payés: si ils ont réussi à introduire un programme qui a eu accès aux données pour les chiffrer, il a pu profiter de cet accès pour les télécharger chez les hackers, qui de ce fait peuvent revendre ces dossiers médicaux.
Et puis s'attaquer à un hôpital, la classe!

Pour avoir travaillé dans de multiples boîtes, et dans plusieurs domaines, il ressort souvent de mon expérience ceci:
Très souvent, les donneurs d'ordre (grand chefs, managers d'équipe, clients) ne comprennent rien au projet, à ses enjeux, aux technologies impliquées:
Un budget serré, juste de quoi faire que ça marche, mal mais ça marche, les bugs "non impactants" non traités, la sécurité et les tests: trop long, trop cher ...
L’équipe? il y a des gens compétents et avec de l'expérience, certes. Mais il y a beaucoup incompétents, des juniors et des stagiaires (je n'ai rien contre ces gens là, mais ils sont là pour apprendre, et pas travailler sur le cœur sensible d'un projet): c'est pas cher!

J'ai vu des projets qui travaillaient avec des données personnelles sensibles et en grand nombre, ou sur des infrastructures techniques sensibles, de boîtes connues ayant pignon sur rue:
produit final ouvert aux quatre vents, mots de passe indigents (le pire que j'ai vu: une lettre, oui! une seule lettre, je ne dirai pas laquelle mais pour ceux qui veulent entrer ils peuvent la casser par force brute avec juste un clavier et quelques essais, pas besoin de programmes compliqués répartis sur moult machines!)
quant au login, bah c'est juste l'adresse email de la personne, qu'on peut récupérer par ailleurs, ou deviner :
première lettre du prénom + nom + @ + le nom de la boite + .com ou .fr

Des formulaires dont tout ce qui y est saisi n'est jamais contrôlé, jamais!, notamment le formulaire de login/mot de passe: injection SQL et autres joyeusetés: c'est open bar!

Algorithmes faux et bugués, visiblement jamais testés, mais l'erreur qui en découle ne saute pas aux yeux: c'est validé!
etc...

Quand je m'en émeus et que je fais remonter tout ça : au pire on me fait comprendre que je fais chier tout le monde, au mieux on m'écoute d'une oreille distraite: on verra ça après, s'il reste du temps, et de l'argent, le plus important : la prochaine échéance de la prochaine étape de livraison au client! ou alors : CHUT! tais-toi malheureux! si le client venait à l'apprendre...


Je voudrais rajouter une anecdote à celles de l'article:
Un autre de mes amis, linuxien émérite, a eu un problème de santé, il est allé se faire diagnostiquer puis soigner, dans un hôpital, ou une clinique: jusque là tout va bien.
plus tard il reçoit un mail avec pour objet le récapitulatif de ce qui s'est passé, diagnostique, opération, futur des soins à envisager, ordonnance etc.. et un lien vers le PDF
il est de type https://nom_de_l_etablissement.fr/dossier_p...ntelle/4593.PDF
ouf! on est en sécurité! ce n'est pas juste du http non sécurisé, il y a bien le petit cadenas devant l'url
4593, par exemple, étant son numéro de dossier ou d'opération:
ce document comporte vraiment tout: que du très intime vis à vis de sa santé, mais aussi toutes les coordonnées: nom, prénom, email, tél, date de naissance, adresse, numéro de sécu ...
bref on sait qui il est et de quoi il "souffre".
ça le fait tiquer , il essaie au hasard
https://nom_de_l_etablissement.fr/dossier_p...ntelle/4563.PDF et d'autres numéros...
et ça marche, il obtient le dossier de Mme Michu, qui a une jambe cassée , puis M Durand qui a un cancer etc...
Il a contacté plusieurs fois l'établissement pour leur signaler ceci, en vain....
l'interlocuteur en face , soit ne comprend pas, soit n'en a strictement rien à foutre...

Quand le gouvernement nous parle de sécurité informatique, notamment pour le système de santé, et que la première chose que ces cons font est de choisir des cloud américains pour stocker les données de la sécurité sociale ou de grosses structures publiques comme l'AP-HP, si ce n'était pas désespérant, on en rigolerais!
que les données soient physiquement en France, ou parfois carrément aux US, ça ne change rien, la boite américaine doit fournir l'intégralité des données qu'elle gère sur simple requête du gouvernement US ou d'une de des fameuses agences.
bref on est tous connus, le plus intimement possible, de l'autre côté de l'atlantique
(extrait de : https://fr.wikipedia.org/wiki/USA_PATRIOT_Act
Dans la pratique, cette Loi du Congrès autorise les services de sécurité à accéder aux données informatiques détenues par les particuliers et les entreprises, sans autorisation préalable et sans en informer les utilisateurs.)
qui nous dit qu'avec le temps certaines société privées US n'auront pas accès à ses données?

désolé d'avoir été un peu long, mais voici ma réponse, argumentée, de la question posée à la fin de l'article

Ce message a été modifié par captaindid - 15 May 2024, 16:43.

[Paul Emploi]

Il a contacté plusieurs fois l'établissement pour leur signaler ceci, en vain....
l'interlocuteur en face , soit ne comprend pas, soit n'en a strictement rien à foutre...

Belle réponse à une question qui était surtout rhétorique.

Ton ami a eu de la chance face à cette société, un hôpital, qu'elle ne se retourne pas contre lui.
Car ça peut arriver, ça m'est arrivé en s'arrêtant aux menaces, et ça m'a servi de leçon.

Quand on tombe sur une faille de sécurité, il ne faut communiquer qu'avec des acteurs de bonne foi, qui rémunèrent cette information et qui indiquent aussi les limites de ce qui est testable en respectant celles-ci.
Dans tous les autres cas il ne faut pas leur fournir cette information, ou au mieux quasi-anonymement si on se sent l'âme d'un bon Samaritain.

[captaindid]

Ton ami a eu de la chance face à cette société, un hôpital, qu'elle ne se retourne pas contre lui.
Car ça peut arriver, ça m'est arrivé en s'arrêtant aux menaces, et ça m'a servi de leçon.

Quand on tombe sur une faille de sécurité, il ne faut communiquer qu'avec des acteurs de bonne foi, qui rémunèrent cette information et qui indiquent aussi les limites de ce qui est testable en respectant celles-ci.
Dans tous les autres cas il ne faut pas leur fournir cette information, ou au mieux quasi-anonymement si on se sent l'âme d'un bon Samaritain.

Oui tu as raison dans les faits, mais c'est quand même rageant et on a envie de faire changer cela!
tu parles d'acteurs de bonne foi: un hôpital devrait entrer dans cette catégorie, non?
là, il a signalé "amicalement" un petit énorme problème technique. Il aurait pu saisir la CNIL en arguant sur le non-respect de la non-divulgation des données personnelles sensibles, conformément à la RGPD. Il y a certainement des associations d'usagers pour soutenir cette action, fournir avocats etc...
S'il avait eu du temps à perdre, et pas peur des représailles (c'est David contre Goliath mais souvent c'est Goliath qui gagne en justice) il aurait du attaquer, pour que ce genre de négligences / incompétences cessent, et que ça fasse jurisprudence pour tous les autres organismes, plus petits et n'ayant pas de grosses ressources informatique, tels qu'un simple laboratoire d'analyses médicales.
Quand on me laisse le choix, je préfère y retourner pour y chercher mes résultats imprimés sur papier, plutôt que le confort de les récupérer de chez moi sur leur site internet!

Le fait que la personne de bonne volonté qui signale un bug à une grosse boîte finisse en justice est hélas connu depuis longtemps.
Depuis l'histoire du gars qui a juste signalé au consortium Cartes Bancaires que leur protocole sur carte à puce, sensé être le plus sécurisé du monde (ce qu'il était quand on pense que de l'autre côté de l'atlantique on utilisait encore l'empreinte CB faite via le 'fer à repasser" ou sabot) n'était pas du tout infaillible.
Par peur que ça s"ébruite et que les banques et surtout les consommateurs perdent confiance dans ce système, ils ont préféré attaquer le gars pour piratage, plutôt que de mettre à jour leur système.