Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Fuite de données à la Fédération Française de Cardiologie… y compris des mots de passe

Hypertension sur le réseau

Fuite de données à la Fédération Française de Cardiologie… y compris des mots de passe

Pendant le pont du 11 novembre, la Fédération Française de Cardiologie a été piratée et des données personnelles des adhérents ont été dérobées. Dans le lot, on retrouve des mots de passe.

Le 28 novembre à 18h07

Il ne se passe pas une semaine quasiment sans qu’une fuite de données ne soit rendue publique. C’est désormais au tour de la Fédération Française de Cardiologie de prévenir ses adhérents : « À la suite d’une faille, un tiers non autorisé a accédé à notre système et dérobé certaines de vos données personnelles ». Contactée par Next, la Fédération nous confirme l’envoi des messages aux adhérents et le contenu du message.

Nom, prénom, adresses, téléphone et… mot de passe

La liste des données dérobées contient les nom et prénom, adresses e-mail et postale, numéro de téléphone et… mot de passe ! Aucune précision sur ce dernier : est-il chiffré ou haché ? Si oui, comment ? Notre interlocuteur n’était pas en mesure de nous apporter les précisions sur les mots de passe. Nous mettrons à jour cette actualité dès que nous les aurons.

Mon espace en « maintenance »

Dans son message aux adhérents, la Fédération ajoute que « la partie "Mon espace" de notre site internet reste indisponible pour une durée indéterminée ». Effectivement, cette partie du site est « en Maintenance » avec le message suivant : « Nous procédons actuellement à une maintenance technique afin d'améliorer les performances et la sécurité de notre site ».

La Fédération Française de Cardiologie se rassure comme elle peut : « Nous tenons à vous assurer qu'aucune donnée bancaire, telle que des numéros de carte bancaire ou des numéros de compte bancaire, n’a été compromise ».

Elle termine par des recommandations d’usage dans ce genre de situation : « redoubler de vigilance face aux e-mails, SMS ou appels que vous pourriez recevoir, notamment ceux contenant des liens ou sollicitant des informations sensibles. Ne cliquez jamais sur un lien suspect et ne communiquez pas vos informations personnelles sans certitude de l’expéditeur ». Une bonne pratique à appliquer en permanence.

Comme la loi l'y oblige, la Fédération a notifié la CNIL. Elle a aussi renforcé sa sécurité, lancé un audit complet et collabore avec les autorités compétentes. Une plainte a été déposée pour « pour limiter les impacts [comment ?, ndlr] et identifier les responsables ».

Commentaires (30)

votre avatar
Ouf, l'essentiel fonctionne :
L'espace réservé au don reste disponible:
https://donner.fedecardio.org/
Je suis de tout cœur avec eux !
votre avatar
Les mots de passe ? ça sent la grosse négligence avec des mots de passe stockés en clair.
votre avatar
Mais non.
C'est pour que lorsque le gentil utilisateur a oublié son mot de passe, on puisse lui renvoyer par mail.
C'est un service rendu pour le confort des utilisateurs.

:fume:
votre avatar
Certaines personnes s'attendent à ça cependant, hélas.

J'ai déjà eu le cas d'un employé d'une entreprise cliente (dans l'immobilier) qui m'appelle pour me demander de lui transmettre le mot de passe de sa boite mail vu qu'il l'avait oublié.
J'ai du expliquer (assez longtemps, et en insistant) que je ne pouvais pas le retrouver, mais que je pouvais en mettre un nouveau. Il a fini par accepter, mais au ton de la voix je suis à peu près sûr qu'il ne m'avait toujours pas cru...
votre avatar
Hacker ouvert.
votre avatar
Mais c’est bien sur !!! Je peux te la piquer pour le ss titre ?
votre avatar
Hacker vaillant rien d'impossible !
votre avatar
"Hacker vaillant", c'est pas possible. Déjà réservé ^^ C'est utilisé sur le discord depuis des mois :D
votre avatar
"Hacker vaillant", c'est pas possible. Déjà réservé ^^ C'est utilisé sur le discord depuis des mois
Je te propose dans ce cas Morbid Hacker, que tu pourras aussi abréger en Morb'Hack.
votre avatar
Ah... Alors peut-être Hacker rompu ? Hacker perdu ? Hacker et à cri ? Où il vaut mieux que j'arrête là et que je sorte ?
votre avatar
yes :p
votre avatar
Si des mots de passe ont vraiment fuité, leur courrier ne mentionne pas la recommandation la plus importante : Changez votre mot de passe immédiatement sur tous les services où vous l'avez utilisé !
votre avatar
Non c'est normal que ça n'y soit pas, puisque personne ne doit faire ça. Et personne ne le fait, n'est-ce-pas ? :D
votre avatar
La Fédération Française de Cardiologie se rassure comme elle peut : « Nous tenons à vous assurer qu’aucune donnée bancaire, telle que des numéros de carte bancaire ou des numéros de compte bancaire, n’a été compromise ».
Je vois de plus en plus ce genre d'excuse bidons, essayant de détourner les yeux sur ce qui a été réellement piraté. Bintôt on verra "vos empreintes biométriques ont été piratées MAIS bonne nouvelle, ils n'ont pas pris celles de votre ADN !"
Il ne se passe pas une semaine quasiment sans qu’une fuite de données ne soit rendue publique.
On voit les conséquences de 20 ans de jemenfoutisme sur la sécurité. Ah oui, ça coûtait cher de payer une personne qui aurait mis un système d'aplomb avec quelques règles de sécurité basiques ? Hé bien vous allez bien le regretter désormais.
votre avatar
Le regretter ? Ah bon, et quand ? Jusqu'à maintenant, les seuls impactés ce sont les utilisateurs. En plus, il y a tellement de fuites maintenant que c'est devenu la norme et donc plus aucun dégât à la réputation non plus. Juste une petite formalité administrative.

Donc finalement de leurs points de vue à tous c'était la bonne décision de ne pas faire d'efforts, pourquoi en faire quand on ne risque rien ? Et pourquoi changer maintenant ?
votre avatar
On voit les conséquences de 20 ans de jemenfoutisme sur la sécurité. Ah oui, ça coûtait cher de payer une personne qui aurait mis un système d'aplomb avec quelques règles de sécurité basiques ? Hé bien vous allez bien le regretter désormais.
C'est pas gentil de citer mon quotidien :craint:

Je ne compte plus les projets en mode "plus tard", "dans un lot 2", "pas le budget", et j'en passe. Comme pour le Louvres, la sécurité reste une variable d'ajustement jusqu'à ce que ça finisse en affaire dans la presse.
votre avatar
C'est le quotidien de beaucoup d'entre nous, et pas seulement dans des projets informatique (au sens large).
Il y a aussi de plus en plus de lacunes dans la sécurité des personnes (comparer le nombre de morts au travail en France vs en Allemagne par exemple).
votre avatar
Mentir sur les données inutilement demandées et utiliser des alias d'email et des mots de passe différents.
votre avatar
J'ai payé des pénalités à Free tous les mois pendant ~ deux ans, car je refusais de donner mon RIB pour qu'on vienne se servir sur mon compte bancaire.
C'est parfois très difficile ou impossible de s'en sortir en donnant des fausses données.
votre avatar
En effet mais tant que ce n'est pas une pratique standard il n'y a pas vraiment d'autres choix...ou bien on donne et nos données fuite ou bien on ne donne pas. C'est aussi un sujet politique car certaines sociétés sont sûrement obligées de stocker des données exploitables, plutôt que rien ou des identifiants cryptographiques qui ne servent à rien seul.
votre avatar
En général, je gère ça avec un compte bancaire secondaire, n'autorisant pas le découvert (revolut dans mon cas).. Ainsi, au pire, on me piquera la somme (modeste) qui est sur le compte secondaire.

Évidemment, si on a beaucoup de prélèvement, soit on est obligé d'avoir pas mal d'argent sur le compte secondaire, soit on est obligé d'avoir plusieurs comptes secondaires.
votre avatar
ça me fait mal au cœur toutes ces fuites...
votre avatar
Mais on est d'accord que chacune de ces fuites est sanctionnée par la CNIL ? Comment ? Parce que si jamais personne ne risque rien, qui aura un intérêt à sécuriser les données adhérents/clients/utilisateurs ? Autant mettre le budget autre part.
votre avatar
Mais on est d'accord que chacune de ces fuites est sanctionnée par la CNIL ?
Non. Une fuite ne sera pas sanctionnée à chaque fois. Cela va dépendre du contexte. Une entreprise victime d'une fuite de données à cause d'une faille dans OpenSSL par exemple n'aura pas le même traitement qu'une société utilisant son nom comme mot de passe admin (coucou le Louvre).

De même, suite à l'enquête, la CNIL vérifie le respect des bonnes pratiques. Si tout est fait dans les règles de l'art, sauf cas particulier, le responsable de traitement ne risque pas grand chose. Par contre, si les mots de passe sont stockés en clair sur un stockage S3 publiquement accessible... comment dire... ouille :sm:
votre avatar
Je vois passer des news sur les fuites chaque semaine mais presque jamais d'article sur des sanctions liées à ces fuites. Tous ces organismes victimes de fuites respecteraient alors les bonnes pratiques ? Il va falloir les revoir elles ne semblent pas très efficaces :mad2:
votre avatar
Après, ne pas oublier non plus que toutes les sanctions de la CNIL ne sont pas publiques...
votre avatar
Vu les jeux de mots en commentaires, on est content que ça soit pas arrivé à une association de proctologues...
votre avatar
Oh toi, tu cherches la merde !!!

:pastaper:
votre avatar
Au moins l'adjectif digital aurait pu être utilisé à propos. :D
votre avatar
Fuite du back orifice

Fuite de données à la Fédération Française de Cardiologie… y compris des mots de passe

  • Nom, prénom, adresses, téléphone et… mot de passe

  • Mon espace en « maintenance »

Fermer