Connexion
Abonnez-vous

N’importe qui pouvait lire les courriers d’Ameli

L'ANSSI alertée, deux failles corrigées

N'importe qui pouvait lire les courriers d'Ameli

Le 18 décembre 2019 à 14h46

Une modification triviale dans l'URL des pièces jointes adressées par l'assurance maladie permettait d'accéder à des courriers adressés à d'autres assurés. Après avoir alerté l'ANSSI en urgence, nous avons contacté Ameli, qui a corrigé la faille. Cherchant à le vérifier, nous avons alors découvert une seconde fuite de données...

Un lecteur de Next INpact nous a alerté fin novembre au sujet d'une faille de sécurité affectant la messagerie d'ameli.fr, le portail de Caisse nationale de l'Assurance Maladie (CNAM).

Refroidi par l'affaire Bluetouff, qui avait été condamné pour piratage informatique après avoir découvert des fichiers de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) dans des répertoires non protégés, il n'osait pas contacter Ameli pour leur notifier la brèche.

Le mode opératoire ? Simplissime : il suffisait de modifier le numéro identifiant les fichiers PDF adressés en pièce jointe pour accéder à des courriers adressés à d'autres assurés.

S'il n'était pas possible de cibler un individu en particulier, nous n'en avons pas moins pu, de la sorte, accéder aux noms, prénoms, adresses, n° de sécurité sociale, demandes de documents et de renseignements, attestations de prise en charge ou de refus de soin (au motif que « le bénéficiaire du soin s'est déplacé sur le territoire suisse pour se faire soigner »), parfois accompagnées de pièces jointes (arrêt de travail, notamment) de plusieurs autres assurés.

ameli

Faute de pouvoir trouver un moyen de contacter en urgence l'assurance-maladie en plein week-end, nous avons profité de la disposition introduite par la loi pour une République numérique en 2016 pour alerter l'ANSSI de cette vulnérabilité, sans (trop) risquer d'être accusé d'avoir compromis Ameli.

Pas d'impunité pénale

Son article 47 avait en effet modifié le code de la défense pour y préciser qu'« une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données » ne saurait être dénoncée au procureur de la République.

Ainsi, plus exactement, cette disposition empêche l'ANSSI d'avoir à dénoncer automatiquement les faits de piratage informatique – ou d'atteintes à un système de traitement automatisé de données (ou STAD), dans le jargon – mais sans introduire d'immunité pénale (voir Signalements des failles : à l’ANSSI, pas de raz-de-marée après la loi Lemaire).

Dit autrement, le chercheur qui viendrait à sonner à la porte de l'agence pourrait toujours être attaqué par le propriétaire du système faillible, quand bien même celui-ci serait en délicatesse sur le terrain du RGPD et sa sacro-sainte obligation de sécurité (voir Le RGPD expliqué ligne par ligne (articles 1 à 23)).

En l'espèce, la politique de protection des données personnelles de la CNAM précise bien que « des politiques de protection des systèmes d’information (PSSI) sont mises en œuvre. Toutes les précautions utiles sont prises pour assurer la sécurité et la confidentialité de vos données personnelles, notamment pour empêcher leur perte, altération, destruction ou utilisation par des tiers non autorisés ».

Nous aurions aimé en savoir plus

Le lundi suivant, le service de presse d'Ameli, que nous avions contacté dans la foulée, accusait réception de notre alerte et précisait qu'il reviendrait vers nous « dès que possible ». L'après-midi, la faille était encore exploitable.

Nous voulions en savoir plus sur l'historique de cette faille de sécurité, si elle avait été exploitée, mais également pourquoi et comment une faille aussi triviale avait pu être possible, ce qui avait été entrepris pour la colmater, et éviter qu'un tel incident ne se reproduise, si l'incident avait été déclaré à la CNIL, et de quand datait le dernier audit de sécurité.

Quatre jours plus tard, le service de presse d'ameli nous répondait laconiquement que « la situation que vous avez bien voulu nous signaler avait bien été identifiée par nos équipes de sécurité et corrigée depuis, pour bloquer toute récupération aléatoire de correspondance depuis l’espace personnel du compte ameli. Nous avons également veillé à informer la Cnil à ce sujet ».

Pour autant, et « afin de protéger les dispositions que nous prenons pour assurer la sécurité des données personnelles, vous comprendrez que nous ne pouvons divulguer aucune information concernant les modalités de nos audits de sécurité, tant sur leur périmètre que sur leur périodicité ».

Une deuxième fuite de données, découverte dans la foulée

Désormais, les URL modifiées renvoient à une page d'erreur intitulée « Visualisation de fichier » précisant « Service indisponible », page que Google avait archivée le mercredi précédent à 2 h du matin. Il ne nous a pas été possible de savoir ni depuis quand la faille existait, ni quand elle avait été corrigée.

ameli

Ce faisant, cherchant à vérifier quelles autres pages étaient archivées par Google, nous avons découvert une dizaine d'autres pages personnalisées de confirmation d'inscription affichant les noms et prénoms d'assurés. 

ameli

S'il est quelque peu étonnant de voir de telles pages archivées par Google, elles ne permettaient pas d'obtenir d'autres données personnelles, contrairement à la première faille. La plus vieille page avait été archivée le 15 septembre, la plus récente ce dimanche 8 décembre, et donc après que le premier problème ait été corrigé. 

ameli

ameli

Et sans que l'on comprenne pourquoi Google n'aurait archivé que 11 pages seulement, sinon que le fichier robots.txt, censé préciser aux robots ce qu'il est permis (ou interdit) d'indexer, n'existait pas et affichait un gros (et gras) « Action Interdite », Ameli laissant donc n'importe quel robot indexer n'importe quelle page.

ameli

De nouveau contactée, la CNAM nous répond, une semaine plus tard, que les deux problèmes « sont bien d’origine et de nature différentes. Concernant la seconde, son impact est moindre, dans la mesure où l’indexation des pages ainsi affichées ne permet pas l’accès à des courriers d’un tiers. Nous avons réalisé les correctifs nécessaires et demandé à Google la suppression des pages qui avaient été ainsi référencées ».

Pour autant, et une semaine après l'avoir alertée à ce sujet, il était toujours possible de consulter les pages en question via le cache de Google, mais aussi et surtout directement sur ameli.fr. Et nous avons également découvert que certaines d'entre-elles avaient depuis été réarchivées par Google, la dernière l'ayant été le dimanche 15 décembre, veille de la réponse d'Ameli.

ameli

En l'espèce, le fichier robots.txt n'avait toujours pas été corrigé, ce dimanche 15 décembre, et continuait d'afficher « Action interdite ». Il n'a été modifié que ce lundi 16, pour n'autoriser les crawlers des moteurs à n'indexer que la seule « page requise, soit page d’accueil au compte ameli, et uniquement celle-ci », nous répond l'assurance maladie.

La CNAM précise que « nos services juridiques ont bien demandé à Google la suppression des liens de confirmation d’ouverture/fermeture de comptes ainsi archivés, demande qui n’a pas encore abouti et que nous continuons de suivre auprès des services de Google. Par ailleurs, il nous reste une amélioration à apporter au niveau du processus de validation des emails des assurés qui créent un compte personnel sur Ameli pour éviter que ces quelques indexations ne se reproduisent : ce sera fait courant janvier. Cependant, il convient de souligner que les quelques liens ainsi référencés ne permettent pas d’accéder aux espaces personnels des assurés ; en effet, en cliquant sur les deux liens présents dans l’email de confirmation, ils renvoient vers la page d’accueil et nécessitent de nouveau, la saisie des identifiants et des mots de passe des assurés sociaux concernés ». 

« Nous continuerons de tout mettre en œuvre pour protéger la sécurité des données de nos différents publics (assurés, professionnels de santé et employeurs) », conclut l'assurance maladie, sans expliquer cela dit ce pourquoi le problème avait ainsi pu perdurer plusieurs mois.

Commentaires (74)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

<img data-src=" />



Reste à savoir si ses mollets sont moulés…



<img data-src=" />

votre avatar

Ce serait bon à savoir, un membre de la rédaction peut-il nous répondre ?

votre avatar







OB a écrit :



La question que je me pose , c’est si tu trouve une faille, que tu scannes et que tu récupères des documents confidentiels mais d’intérêt général (je pense ici à des plans de licenciement, des informations sur des “optimisations” , voire des fraudes fiscale, sur des ddéfauts de sécurisé d’ouvrages sensibles, des certifications frauduleuses de médicament…)





c’est exactement l’affaire Bluetouff que tu décris. et on connait la conclusion: condamnation pour maintien frauduleux dans un système de traitement automatisé de données, et vol de fichiers informatiques.

le scan (la recherche active de failles dans un STAD) sans autorisation du propriétaire est interdit par la loi.





Je pense que moi, là, je serais vraiment dans le doute : Est-ce que je déclare la fuite à l’ANSSI, qui va avertir la société et ainsi couvrir les malversations ?



c’est le souci. ^^



Est-ce que je donne l’info à un journaliste qui, lui, va pouvoir prendre & publier les documents ?



il va pas pouvoir prendre, le journaliste, sauf à se mettre lui-même en situation délictueuse.



Est-ce que je prends moi-même (en me protégeant) les documents et les files à un journaliste ?



en faisant ça tu t’exposes à une peine supplémentaire (vol de documents).



Est-ce que je fait juste tout fuiter sur wikileaks ?



correction: tu donnes à WL qui décide quoi publier et quand. nuance. ^^


votre avatar

C’est rigolo ça, je travaille à l’Assurance maladie et personne n’en a parlé en interne…

votre avatar

La vraie info, c’est que quand un citoyen découvre un problème pareil, il a peur de contacter l’administration et préfère contacter les médias…

votre avatar







Arkeen a écrit :



Le conditionnel est de trop dans ta réponse. Donc on ne sait pas en fait. Soit on a quelque chose à craindre, soit on a rien à craindre.









hellmut a écrit :



justement le “fouiner” est interdit.

et j’ai mis “à priori” à dessein: l’ANSSI ne va pas te dénoncer, mais l’entité responsable du site peut tout à fait le faire, surtout si tu as scanné leur site à la recherche de failles.







AU final on n’est pas plus avancé sur cette question. <img data-src=" />


votre avatar

Bah si, la situation est claire : quoique tu fasses, tu risques un procès.

votre avatar

Vu comme ça en effet, c’est bien synthétisé :P

votre avatar

en fait y’a pas de question: tu risques des poursuites dans tous les cas.



la seule chose qui a été modifiée c’est que l’administration concernée (l’ANSSI) n’est plus tenue de te dénoncer au procureur quand elle estime que tu es de bonne foi. c’est tout, et ça ne concerne que l’ANSSI.

votre avatar

C’est vachement incitatif. Moralité : si tu découvres une faille, tu fermes ta g*/@$%.

votre avatar







hellmut a écrit :



il va pas pouvoir prendre, le journaliste, sauf à se mettre lui-même en situation délictueuse.&nbsp;



&nbsp;

ça dépend : l’information est-elle d’intérêt général, susceptible d’éclairer l’opinion publique ?

&nbsp;

Maître Eolas a coutume de répéter qu’il ne faut jamais parler avant de s’être entretenu avec son avocat; en l’espèce, je dirais que le mieux serait de contacter un journaliste qui verra, comme je l’ai fait, s’il faut contacter l’ANSSI par ailleurs



PS : j’ai aussi bossé avec WikiLeaks, et dispose de plusieurs dropbox sécurisées :&nbsphttps://jean-marc.manach.net/securedrop.htm ;)


votre avatar

Vous allez tous finir en garde à vue, à force d’utiliser sciemment Gogleuh à la Bluetouff. Il serait temps de passer à Qwant ! Lui, au moins, utilise un cache de 2007, aucune chance (?) d’y trouver une faille récente ! <img data-src=" />

votre avatar

Je répond à OB qui évoque plusieurs situations:

1- “Est-ce que je donne l’info à un journaliste qui, lui, va pouvoir prendre & publier les documents ?”

2- “Est-ce que je prends moi-même (en me protégeant) les documents et les files à un journaliste ?”



Dans la situation 1 à laquelle je répond dans le post que tu cites, le tiers fourni au journaliste l’info qu’une faille existe, et c’est le journaliste qui va chercher les docs. dans ce cas il me semble bien que rien ne protège le journaliste, puisque c’est lui-même qui commet une intrusion et se maintient dans un STAD, comme dans le cas Bluetouff.



dans la situation 2 par contre, il s’agit d’un tiers qui fourni les docs au journaliste. Là c’est effectivement différent et c’est le cas le plus classique du lanceur d’alerte qui fourni des docs à la presse.



Mais on voit bien que dans tous les cas il vaut mieux passer par la presse au lieu d’aller directement voir l’ANSSI. ^^

votre avatar

non, mais tu réfléchis à 2 fois avant de l’ouvrir, et c’est bien dommage on est d’accord.

votre avatar







SebGF a écrit :



Dans la même catégorie truc conçu sans penser à la question de la sécurité : des milliers de chèques emploi services ont été détournés. De simples vols de courriers pour lesquels il suffit ensuite de s’inscrire sur un site et y adjoindre un RIB pour toucher l’argent.





Comment fait on pour voler autant de courriers ?


votre avatar

Exactement comme dans l’exemple ici, en modifiant l’url d’accès au courrier accessible dans ton espace numérique.

votre avatar

Même les courriers papier, n’importe qui peut les lire ! J’en ai reçu un dernièrement dont l’enveloppe n’était pas fermée…

votre avatar

En l’occurrence c’était visiblement une arnaque bien organisée.

Après à titre perso, je me suis fait voler plusieurs fois des tickets restau (mon ex employeur les renvoyait alors en LRAR…). En même temps le courrier était simple à repérer puisque le carnet déformait l’enveloppe…

Après 3 dossiers à la Poste (un par mois en gros), j’ai fini par aller porter plainte au commissariat. Hasard ou non, le mois suivant j’ai reçu mes tickets sans soucis et après pareil.

Était-ce un connard à la poste ? Aucune idée et je m’en tape.



Dans le cas des CESU, ça semble être le même format de carnet donc aisément repérable aussi et le pli portait les entêtes du Conseil départemental.



http://www.leparisien.fr/seine-saint-denis-93/pres-de-400-000-euros-de-cheques-c…

votre avatar

nice

votre avatar

Du coup vous avez attrapé un gros paquet de données perso … c’est pas très RGPD tout ça !

votre avatar

J’ai eu ce genre d’interrogation lorsque j’ai trouvé un faille sur le site de l’agence mondiale anti dopage, plus précisément à l’endroit où se connectent les athlètes pour signaler leur géolocalisation. Un injection XSS permettait de falsifier le champ du mot de passe et on pouvait mettre son propre formulaire pour intercepter le mot de passe, puis l’utiliser.



L’agence à mis plusieurs mois à corriger malgré mes relances aux services de dev (basé au canada). J’ai trouvé la faille, filmer le POC mais je n’ai pas fait d’exploitation réelle de peur d’être coupable d’intrusion. Du coup on se sait pas trop comment prouver notre bonne foi.



Ma question est : étant un site non français, l’ANSI aurait elle été compétente ?

votre avatar







manhack a écrit :



&nbsp;

ça dépend : l’information est-elle d’intérêt général, susceptible d’éclairer l’opinion publique ?

&nbsp;

Maître Eolas a coutume de répéter qu’il ne faut jamais parler avant de s’être entretenu avec son avocat; en l’espèce, je dirais que le mieux serait de contacter un journaliste qui verra, comme je l’ai fait, s’il faut contacter l’ANSSI par ailleurs









hellmut a écrit :



Je répond à OB qui évoque plusieurs situations:

1- “Est-ce que je donne l’info à un journaliste qui, lui, va pouvoir prendre & publier les documents ?”

2- “Est-ce que je prends moi-même (en me protégeant) les documents et les files à un journaliste ?”



Dans la situation 1 à laquelle je répond dans le post que tu cites, le tiers fourni au journaliste l’info qu’une faille existe, et c’est le journaliste qui va chercher les docs. dans ce cas il me semble bien que rien ne protège le journaliste, puisque c’est lui-même qui commet une intrusion et se maintient dans un STAD, comme dans le cas Bluetouff.



dans la situation 2 par contre, il s’agit d’un tiers qui fourni les docs au journaliste. Là c’est effectivement différent et c’est le cas le plus classique du lanceur d’alerte qui fourni des docs à la presse.



Mais on voit bien que dans tous les cas il vaut mieux passer par la presse au lieu d’aller directement voir l’ANSSI. ^^





Merci de vos éclairages a tous les deux !


votre avatar







Winderly a écrit :



inventeur ? <img data-src=" />





Comme le dit Z-os il faut regarder une définition un peu moins connu d’inventeur:

larousse.fr LaroussePersonne qui découvre un trésor, un objet, etc. (L’inventeur d’un trésor en devient seul propriétaire s’il le découvre sur son propre fonds, et pour moitié avec le propriétaire du fonds s’il le découvre sur le fonds d’autrui.)”


votre avatar

Il serait donc grâce à sa découverte devenu propriétaire de la faille. J’ai encore un peu de mal.

votre avatar

C’est juste une expression qui n’a aucun sens, inventée (dans le bon sens, là) par des gens en mal de reconnaissance…

votre avatar

peut-être pas mais ils peuvent te rediriger vers l’autorité compétente du pays en question par contre.

votre avatar

L’inventeur est le découvreur, rien de plus. L’exemple donné par le Larousse pour “illustrer” le mot est la découverte d’un trésor. Dans le cas d’un trésor l’inventeur en devient le propriétaire (avec quelques subtilités dans les faits) mais ce n’est qu’un exemple.

votre avatar

Dans ce cas, quel est l’intérêt d’utiliser le mot inventeur à la place de découvreur ?

votre avatar







Winderly a écrit :



Dans ce cas, quel est l’intérêt d’utiliser le mot inventeur à la place de découvreur ?



Ce sont des synonymes, on peut utiliser indifféremment l’un ou l’autre. Il n’y a pas de “à la place” ici <img data-src=" />


votre avatar

Quel est l’intérêt de manger des frites plutôt que des potatoes?

Quel est l’intérêt de conduire une C3 plutôt qu’un Clio?

Quel est l’intérêt d’aller son enfant Christophe plutôt qu’Olivier?



La langue française est riche et variée et j’aime simplement l’utiliser de façon étendue, rien de plus.

votre avatar

Moi je suis sur que lecteur c’est Shaft !

votre avatar

Le biais d’interprétation vient du fait que l’ANSSI ne portera pas plainte, pas qu’il n’y aura pas de plainte. La plainte peut venir de la société dénoncée, d’une saisine directe du procureur ou d’une tierce personne



Celui qui montre le danger semble souvent plus dangereux que le danger lui même.

votre avatar

après une bière, j’ai lu mediocrité, puis j’ai relu quand même :) tant d’honneteté c’est trop gros

votre avatar

“N’importe qui pouvait lire les courriers d’Amelie”

Des cartes postales avec des nains de jardin, normal que tout le monde pouvait les lire.

votre avatar

La NSA et les assureurs vous remercient encore, et vous contacteront bientôt pour vous proposer tous les traitements adéquats à vos pathologies. Et si vous êtes dirigeant français, vous pouvez déjà profiter en exclusivité de notre grande promotion du week-end : la schnouff à -50% et 2kg de beuh gratuite pour toute vente de barrage hydraulique, entreprise innovante, et destruction de service public ! ;)

votre avatar

Un bel Ameli melo<img data-src=" />

votre avatar







hellmut a écrit :



justement le “fouiner” est interdit.

et j’ai mis “à priori” à dessein: l’ANSSI ne va pas te dénoncer, mais l’entité responsable du site peut tout à fait le faire, surtout si tu as scanné leur site à la recherche de failles.





Pour moi, même si tu as scanné pour te rendre compte de la réalité et de l’étendu de la faille, si tu décrit la faille & l’étendu à l’ANSSI ,c’ets quand même un gros point en ta faveur. C’est sur que si t’en a profité pour chiffrer tous leurs serveurs et demander une rançon , ANSSI ou pas, ça va pas le faire.



La question que je me pose , c’est si tu trouve une faille, que tu scannes et que tu récupères des documents confidentiels mais d’intérêt général (je pense ici à des plans de licenciement, des informations sur des “optimisations” , voire des fraudes fiscale, sur des ddéfauts de sécurisé d’ouvrages sensibles, des certifications frauduleuses de médicament…)



Je pense que moi, là, je serais vraiment dans le doute : Est-ce que je déclare la fuite à l’ANSSI, qui va avertir la société et ainsi couvrir les malversations ?

Est-ce que je donne l’info à un journaliste qui, lui, va pouvoir prendre & publier les documents ?

Est-ce que je prends moi-même (en me protégeant) les documents et les files à un journaliste ?

Est-ce que je fait juste tout fuiter sur wikileaks ?



Ya l’aspect légal, et l’aspect moral .



&nbsp;


votre avatar

Heeeeu ce sont les mêmes guignols qui vont s’occuper des cartes vitales avec empreintes digitales ?

votre avatar

J’aime beaucoup le courrier montré en exemple, pour un refus de prendre en charge des frais en Suisse, avec le caviardage qui laisse dépasser négligemment un petit Levallois Perret, justement le jour du procès en appel des Balkany. Très fort.

&nbsp;

votre avatar

Dans la même catégorie truc conçu sans penser à la question de la sécurité : des milliers de chèques emploi services ont été détournés. De simples vols de courriers pour lesquels il suffit ensuite de s’inscrire sur un site et y adjoindre un RIB pour toucher l’argent.

votre avatar

Non, mais d’autre moteur de recherche peut être.



Voir même YaCy si ça a été indexé par un node <img data-src=" />

votre avatar







spidermoon a écrit :





Un bel Ameli melo dis <img data-src=" />

&nbsp;

<img data-src=" />


votre avatar

Moi pour ça je me pose une question bien plus grave avec leurs conneries. Si tu souffres d’adermatoglyphie avec leur nouvelle carte vitale, tu dis adieu aux remboursements ? C’est quoi l’alternative ?

votre avatar

Il y aura de toute façon des procédures prévues pour les gens qui n’ont pas leur carte vitale (ne serait-ce que vol, perte etc.).



“À ce jour, quatre familles dans le monde possèdent cette particularité” (Wikipédia)

Aussi chiant que ça puisse être pour eux qui n’ont rien demandé, je ne pense pas qu’il soit raisonnable de bâtir une politique publique avec pour objectif que la méthode ‘normale’ couvre l’absolue totalité des gens.

votre avatar

si j’en crois Wikipedia, cela ne concerne que 4 familles dans le monde dont au moins une est Suisse.

ça va y a pas péril en la demeure et je pense qu’on doit pouvoir trouver plus percutant comme argument <img data-src=" />



(mais merci pour le mot nouveau qui pourrait permettre à certains de ne plus utiliser empruntes à la place d’empreintes et roxxer au scrabble <img data-src=" /> )



grilled <img data-src=" />

votre avatar

C’est surtout un exemple pour être chiant sur l’effet “point d’entrée” unique <img data-src=" />



Du moment qu’il reste une possibilité de se passer de la carte vitale pour ne pas être lésé.

votre avatar

Eh non <img data-src=" />

votre avatar

justement le “fouiner” est interdit.

et j’ai mis “à priori” à dessein: l’ANSSI ne va pas te dénoncer, mais l’entité responsable du site peut tout à fait le faire, surtout si tu as scanné leur site à la recherche de failles.

votre avatar

c’est ça, faut se cacher derrière le secret des sources, et on est bien d’accord que c’est pas normal.

votre avatar

Merci pour cette info ! <img data-src=" />



Par contre vous avez pas honte de mettre en image un courrier adressé au Balkany ??? <img data-src=" />

&nbsp;

votre avatar

Absolument pas, c’est ce qui est écrit dans l’article.

Le fait de signaler à l’ANSSI n’oblige pas l’ANSSI à te dénoncer, mais:

1- elle peut tout de même le faire si elle le juge pertinent (je suppose que ça dépendra du système et de la bonne fois qui transparait dans ton rapport)

2- la ‘victime’ peut porter plainte contre toi pour intrusion et/ou maintien dans un SADT



Par contre, le fait d’avoir informé l’ANSSI va clairement jouer en ta faveur lors de cet éventuel procès.

Ce qui jouera aussi beaucoup, c’est ce que tu as fait de cette faille. Si tu as ouvert un unique document d’une tierce personne, réalisé que c’est pas normal et signalé, ta bonne foi sera facile à démontrer. Si tu as téléchargé 200000 documents d’autres assurés avant de signaler la faille, tu va avoir des gros soucis.



Pour rappel, Bluetouff ne s’est pas fait condamner pour avoir trouvé des documents sur Google comme c’est souvent dit, mais pour avoir continué à les télécharger en masse après des actions qui ont été interprétées par le tribunal comme prouvant qu’il avait conscience que les documents n’avaient pas vocation à être publics (interprétation critiquable, c’est le coeur de la polémique).

Par contre sur la partie intrusion, le tribunal l’a explicitement relaxé justement parce qu’il était indéniable qu’il ne l’avait pas fait sciemment.



Edit: je comprends mieux ce que tu dis à la lueur des commentaires que tu as fait pendant que je tapais le mien <img data-src=" />

votre avatar

c’est exactement la même faille qu’il y a quelques mois chez Boulanger où on pouvait retrouver les factures d’autres personnes en modifiant l’identifiant dans l’URL.

et j’avoue que c’est un truc que je tente systématiquement quand je vois que l’url s’y prête. <img data-src=" />

votre avatar

c’est exactement ce que je dis hein. ^^



edit: pour préciser, Bluetouff s’est fait épingler non pas pour l’accès frauduleux mais pour le maintien frauduleux dans un système de traitement automatisé de données. et ça couvre le scan et la fouille un peu trop minutieuse dont je parle.

votre avatar







le hollandais volant a écrit :



Pour en revenir, une chose n’est pas claire : un “chercheur” qui signale la faille peut être poursuivi ou pas du coup ? Et selon quels chefs d’accusation il peut l’être et quels il ne peut pas ?



Parce que bon… Entre les affaires Bluetouff, Zataz et d’autres (SNCF…), signaler des failles est risquée. Ça serait bien d’être au courant de ce qu’on risque.







Risqué seulement car en l’absence de jurisprudence claire (c’est à dire dans son cas de jugement incomplet) c’est un principe de précaution qui s’applique : si Bluetouff savait, alors il est responsable.

Comme dans la quasi majorité des cas impliquant une connaissance technique particulière, ou une connaissance non encore élucidée au sens du droit.



Le réel problème est de ne pas vouloir prendre une décision pour permettre une chronologie inscrite dans la loi des signalements de failles.


votre avatar

“Pour autant, et « afin de protéger les dispositions que nous prenons

pour assurer la sécurité des données personnelles, vous comprendrez que

nous ne pouvons divulguer aucune information concernant les modalités

de nos audits de sécurité, tant sur leur périmètre que sur leur

périodicité ».”



<img data-src=" />



C’est de l’or, merci nextinpact !

votre avatar

inventeur ? <img data-src=" />

votre avatar

Comme pour les trésors : découvreur.

votre avatar

D’un côté je ne vois pas trop ce qu’on peut faire de vraiment satisfaisant d’un point de vue légal.



On ne peut pas donner l’immunité à ceux qui informent l’ANSSI d’une faille, ça serait trop facile. J’ai déjà eu l’occasion de voir des cas assez différents de signalement d’une faille:

Cas 1: Les logs du serveur web affichaient qques centaines de tentatives automatisées standards sur le site web, rien de clairement forgé sur mesure ni d’exploitation après constat de la faille =&gt; remerciement, fin de l’histoire.

Cas 2: les logs contenaient les mêmes tentatives automatisées, mais après un certain temps aussi quelques requêtes offusquées, qui après analyse consistaient à déposer un webshell. Les logs des parefeux laissent penser que le webshell a été utilisé pour cartographier le réseau autour du serveur compromis =&gt; dépôt de plainte.



Il faut donc forcément qu’à un moment quelqu’un analyse ce qu’a réellement fait le ‘chercheur’ et juge si oui ou non ça mérite de le poursuivre en justice.

Le problème est que ça ouvre la porte à une politique d’intimidation par l’action en justice systématique, et que certaines entreprises ou administration n’ont pas compris que secret != sécurité (ya qu’à voir la déclaration sur les audits de sécurité de cet article).

votre avatar

Pourquoi améli ne contacte que Google ? Il n’existe pas d’autres moteurs de recherche qui se basent sur robots.txt ? <img data-src=" />

votre avatar

Fais attention, tu risques de leur apprendre des choses (à supposer qu’ils lisent nxi).

votre avatar

La faille date d’après 2017 donc Qwant ne dispose pas de ses pages dans son index



&nbsp;<img data-src=" />

votre avatar

Un contrôle Urssaf de Nxi ne serait pas étonnant.<img data-src=" />

Avec de la chance, ils pourrait tomber sur un contrôler lecteur de NXI.<img data-src=" />

votre avatar

Et dire qu’un prestataire à du être payé grassement pour réaliser ce site … le copinage et l’amateurisme ont leurs limites !

votre avatar

tu penses que ça va mordre? <img data-src=" />

votre avatar

A une époque, Manpower, la boîte d’intérim avait exactement le même problème. J’avais cherché à les contacter, mais sans page de contact, c’était difficile. J’avais laissé tomber. Aujourd’hui la faille semble corrigée.



Pour en revenir, une chose n’est pas claire : un “chercheur” qui signale la faille peut être poursuivi ou pas du coup ? Et selon quels chefs d’accusation il peut l’être et quels il ne peut pas ?



Parce que bon… Entre les affaires Bluetouff, Zataz et d’autres (SNCF…), signaler des failles est risquée. Ça serait bien d’être au courant de ce qu’on risque.

votre avatar

s’il passe par l’ANSSI à priori non, s’il est de bonne foi.

ici en l’occurrence ça passe, car c’est une faille détectable facilement. si tu arrives avec un truc sophistiqué, c’est que tu as sans doute fouillé un peu, et c’est interdit (je dis pas que c’est bien).

votre avatar

Il ne s’agit même pas d’une faille : on laisse la porte ouverte (et la fenêtre avec), en espérant que ça ne se voit pas…ou alors tout le monde s’en branle, en fait. C’est sans doute l’option la plus probable.



Est-ce qu’il peut y avoir des conséquences légales, pour la CNAM et / ou les prestataires? Sinon, je vois pas comment ça pourrait aller mieux à l’avenir…



(quand on voit que l’Etat se lance dans la collecte de données biométriques, ça fait vraiment froid dans le dos)

votre avatar

Eh beh une belle brochette d’incompétents.



&nbsp;Ce genre de truc ne devrait même pas être envisageable pour quelquechose d’aussi critique, c’est à se demander s’ils ont une team sécurité chez ameli (parce que des failles y en a d’autres, et j’ose même pas imaginer à quel point ils ne sont pas “gdpr” en interne. Pare que si ce genre d’url est dispo en externe ca veut dire que ce genre de manip est aussi dispo en interne et potentiellement pas loggué.

votre avatar







hellmut a écrit :



s’il passe par l’ANSSI à priori non, s’il est de bonne foi.

ici en l’occurrence ça passe, car c’est une faille détectable facilement. si tu arrives avec un truc sophistiqué, c’est que tu as sans doute fouillé un peu, et c’est interdit (je dis pas que c’est bien).





“à priori” est de trop dans ta réponse. Donc on ne sait pas en fait. Soit on peut être poursuivi, soit on peut pas. Que le processus soit sophistiqué ou pas n’y change rien, juridiquement “sophistiqué” n’a pas de valeur me semble-t-il. Ce que tu considère comme trivial pour toi, est peut-être de l’ordre du mysticisme pour le Français moyen qui confond “informatique” avec “iPad”, “Internet” avec “Facebook” ou encore “Internet” avec “Orange” ou “Bouygues”.

En l’occurrence si tu es passionné, informé et bien doué dans ce domaine, tu peux “fouiner” des choses à ton niveau qui relèvent déjà de méthodes sophistiquées. Et si tu trouve une faille et que tu la signale à l’ANSSI, c’est que tu œuvre pour la collectivité, tu ne devrais rien craindre.


votre avatar







Nozalys a écrit :



Et si tu trouve une faille et que tu la signale à l’ANSSI, c’est que tu œuvre pour la collectivité, tu ne devrais rien craindre.&nbsp;





Le conditionnel est de trop dans ta réponse. Donc on ne sait pas en fait. Soit on a quelque chose à craindre, soit on a rien à craindre.


votre avatar

Au final le plus sur c’est comme l’a fait l’inventeur de cette faille….signaler le problème à la presse qui ferra suivre. La presse bénéficiant de protection supplémentaire permettant de se protéger ainsi que l’inventeur ou de savoir les limites…



Mais cette situation n’est pas normale.

votre avatar

Dans un certain nombre de boîtes très politiques chacun doit montrer qu’il travaille à la direction à grands coups de mails et autres.



Dès lors le boulot des équipes sécurité n’est plus de sécuriser les postes ou les infra mais d’emm… ceux qui bossent, car au moins comme ça ils montrent qu’ils travaillent. Après on peut toujours trouver une justification pour bloquer tel ou tel truc. Mais pendant ce temps le vrai travail de sécurité comme s’assurer que les patch de sécurité sont appliqués n’est pas fait…

votre avatar







Arkeen a écrit :



Le conditionnel est de trop dans ta réponse. Donc on ne sait pas en fait. Soit on a quelque chose à craindre, soit on a rien à craindre.





c’est ce qu’il dit à la première ligne son com <img data-src=" />

(perso je dirais que “l’erreur” n’est pas le conditionnel mais la place du “ne” &gt;&gt; si tu oeuvres pour la communauté tu devrais ne rien craindre” (sous entendu si la loi/procédure/le monde était bien fait))


votre avatar

On comprend mieux pourquoi ils appellent leur nouveau truc “Dossier Médical Partagé”. <img data-src=" />

J’espère que ça va pas devenir obligatoire ce machin.

N’importe qui pouvait lire les courriers d’Ameli

  • Pas d'impunité pénale

  • Nous aurions aimé en savoir plus

  • Une deuxième fuite de données, découverte dans la foulée

Fermer