Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Quand le site de la région Île-de-France laissait fuiter CV, passeports, RIB, bilans médicaux…

Simple comme une recherche

Quand le site de la région Île-de-France laissait fuiter CV, passeports, RIB, bilans médicaux...

Le 12 décembre 2017 à 15h41

Sur le site de l'Île-de-France, télécharger des documents personnels ne demandait rien de plus qu'une simple recherche. Bertrand Matge, responsable de la mission numérique pour la région, nous explique les tenants et aboutissants de cette fuite de données, évidemment corrigée depuis.

Des failles de sécurité, il en existe de tous les genres ou presque. Il faut parfois faire preuve d'ingéniosité pour exploiter des vulnérabilités sur les systèmes, de chance pour tomber sur le bon serveur. Il suffit parfois aussi d'une simple recherche. C'était le cas du site officiel de la région Île-de-France.

Lancez une recherche sur le moteur, servez-vous

Un lecteur nous a contactés afin de nous faire part de sa découverte : avec le mot clé « PDF » dans le moteur de recherche du site et un classement des résultats par date (le plus récent en premier), des dizaines de CV étaient librement accessibles sur la première page des résultats.

Région ile de france fuite PDF

Pire, un fouillant un peu plus loin, nous avons pu obtenir des photocopies de passeport, de carte nationale d'identité, des constats, des lettres de doléances, des mises en demeure, des relevés d'identité bancaire et même des bilans médicaux. Bref, des données sensibles qui ne devraient à aucun moment être librement accessibles.

Contactée par nos soins, la région a rapidement corrigé cette importante brèche de sécurité. « Il y a assez peu de mots, je suis très très embarrassé » lâche Bertrand Matge, chef de la mission numérique pour la région Île-de-France. Il nous donne également de plus amples informations et nous détaille les changements qui vont être mis en place. 

Suite à un changement de serveur, les documents n'étaient plus supprimés

Le site propose depuis longtemps plusieurs formulaires, notamment pour que les jeunes puissent postuler à des offres de stage, et ils permettent de transmettre des documents (un CV par exemple). « On a eu un souci technique, on a changé d'hébergeur il y a très peu de temps, il y a un mois et demi » nous explique le responsable. Cette migration est semble-t-il l'origine de la fuite dont il est aujourd'hui question.

Normalement, les fichiers sont « supprimés toutes les 24 h dès que les formulaires ont été transmis par email » nous explique notre interlocuteur. Une « mesure "suffisamment raisonnable" » selon le correspondant informatique et liberté de la région, c'est du moins ce que nous indique Bertrand Matge. De plus, les documents devaient en théorie être stockés « dans un espace privatif, qui n'est pas accessible par le site ou le moteur de recherche ». 

Problème, suite au changement d'hébergeur, les deux services n'ont pas fonctionné correctement : les documents restaient sur le serveur et en plus ils étaient indexés par le moteur. « Les formulaires en tant que tels et leur contenu n'ont pas été exposés » par cette fuite de données ajoute le chef de la mission numérique.

Région ile de france fuite PDFRégion ile de france fuite PDFRégion ile de france fuite PDF

Une fuite rapidement colmatée, un nouveau site en préparation

La réaction de l'équipe technique aura été rapide. Nous avons contacté par email le service presse de la région mardi soir de la semaine dernière, et relancé d'un appel téléphonique mercredi matin pour éviter que notre courrier ne se perde en route. « Dans la demi-heure, on a sorti tous les documents et tous les PDF de l'index de recherche du moteur du site » affirme Bertrand Matge.

De notre côté, nous avons effectivement constaté que les fichiers n'étaient plus référencés par le moteur de recherche au moins à partir de mercredi midi de la semaine dernière. Nous avons par contre attendu que les différents caches des moteurs de recherche soient mis à jour avant de publier cette actualité afin d'éviter que la moindre information ne soit encore accessible.

Dans le même temps, la région prépare un nouveau site pour remplacer l'actuel, jugé « un peu vieillissant » : « on est en train de programmer une refonte technique et architecturale » avec une mise en ligne prévue pour la fin du premier trimestre 2018. Cette nouvelle version intègrera dès le début les engagements pris par la région sur l'open data ainsi que toutes les problématiques RGPD, nous indique notre interlocuteur.

Les formulaires actuels « ont été conçus il y a maintenant quatre ans, sans forcément ces problématiques en tête, même si elles étaient déjà existantes » reconnait-il. Si des formulaires de candidature seront toujours présents sur le nouveau site, « ils ne seront pas traités avec un applicatif type CMS/Site web » pour éviter qu'une déconvenue du même genre ne se reproduise. 

Les utilisateurs impactés seront contactés individuellement

En attendant, l'enquête continue afin de cerner exactement l'ampleur du problème. Seuls les documents transmis il y moins d'un mois et demi semblent concernés (après le changement d'hébergeur), mais une analyse plus profonde permettra de le confirmer (logs, sauvegarde des anciennes versions du site, etc.). « Paradoxalement, il est plus rapide d'agir pour supprimer le problème que pour l'identifier » nous explique Bertrand Matge. 

Ce dernier ajoute qu'il va « bien évidemment contacter les personnes dont les données ont pu être exposées » afin de leur donner des explications et leur présenter des excuses, « en espérant l'impact aura été assez réduit ».  Selon les premières estimations, entre 100 et 200 personnes seraient concernées, mais cela demande confirmation, là encore avec l'étude approfondie.

Le site ne dispose pas d'outils de gestion des statistiques sur les accès aux fichiers afin de savoir quel document a été téléchargé, par qui et combien de fois, « mais on devrait pouvoir l'estimer » espère Bertrand Matge. « On sera bien évidemment beaucoup plus vigilant à l'avenir » affirme le responsable en guise de conclusion.

Commentaires (82)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Aloyse57 a écrit :



Sans le $ en plus, dans mon cas, j’aurais aussi muté en @Patch <img data-src=" />



<img data-src=" />

De mon côté je ne pourrai pas gagner plus vu que fonctionnaire, et à côté j’ai tout à y perdre à me rendre “indispensable”… Je connais un peu trop bien mes chefs pour savoir que ca finira forcément par se retourner contre moi d’une facon ou d’une autre. Et comme en plus il ne faut surtout pas faire preuve d’initiative (on se fait recadrer à chaque fois, même quand ce sont des trucs qui faciliteraient la vie de tout le monde!), ca donne encore moins envie de bouger <img data-src=" />


votre avatar

man find

man grep



et si vous ne savez pas ce que vous cherchez :

man less et un peu de temps pour tout lire.

votre avatar

Et c’est peut-être un bien. À te lire, tu n’as pas l’air aigri.

votre avatar

ca me fait penser, en arrivant je fait un truc pas trop mal, 2 mois après le directeur dit en réunion : mais c’est génial !



évidement j’ai eu droit a des remontrances de l’equipe, j’aurais du leur dire avant etc … <img data-src=" /> beh non sinon les fleurs c’etait pour eux <img data-src=" />

&nbsp;

&nbsp;Je pense que les gens sont jaloux, tous simplement. Sur ce coup ca sautait au yeux, j’ai eu comme commentaire : moi je voulais le faire mais tu a pris mon idée, moi aussi je pouvais le faire mais je n’avais pas le temps etc … niveau CM1

votre avatar







sscrit a écrit :



ca me fait penser, en arrivant je fait un truc pas trop mal, 2 mois après le directeur dit en réunion : mais c’est génial !



évidement j’ai eu droit a des remontrances de l’equipe, j’aurais du leur dire avant etc … <img data-src=" /> beh non sinon les fleurs c’etait pour eux <img data-src=" />

 

 Je pense que les gens sont jaloux, tous simplement. Sur ce coup ca sautait au yeux, j’ai eu comme commentaire : moi je voulais le faire mais tu a pris mon idée, moi aussi je pouvais le faire mais je n’avais pas le temps etc … niveau CM1



Ah non, c’est même pas ca : en plus d’être incompétents, il n’y a strictement aucune confiance en leurs agents (alors que certains sont là depuis 20 ans et que les directeurs ne sont là que temporairement (ils ont obligation de changer d’établissement tous les 3 à 7 ans)). Même les attachés sont bridés dans leur travail, alors qu’ils font théoriquement partie du personnel de direction… On en a perdu une paire qui faisaient un excellent travail à cause de ca.


votre avatar

Je ne cherche pas à te persuader, tu peux croire que la situation s’améliorera en France par des injures en cascade à son encontre. C’est possible mais compliqué.



Je ne pense pas faire la confusion entre des blagues potaches et un mouvement de fond, amorcé lui il y a bien des années et qui avait comme but de diminuer la sphère d’influence de la France encore jugée trop sociale ( cf Alain Madelin). Si tu ne le vois pas, ou que tu ne veux pas le voir, je peux le comprendre vu l’acharnement qu’ont eu les politiques et médias à faire de Nation, un gros mot repris malheureusement pas les extrêmes. Finalement, cela arrange tout le monde: Pour en finir avec la Nation ou comment céder à l’extrême droite une belle patate chaude que tous dénonceront comme bouillante.



Pour le reste, je te prierai d’éviter de qualifier de simplistes des propos que tu ne lis pas bien.

Amicalement,






votre avatar







Patch a écrit :



Rien ne t’empêche de recadrer les choses peu à peu!





c’est en cours (mais ça a été fastidieux pour y arriver) <img data-src=" />







fred42 a écrit :



Et c’est peut-être un bien. À te lire, tu n’as pas l’air aigri.





cf. ci-dessus <img data-src=" /> (par ailleurs, il en faut vraiment vraiment beaucoup pour déjà me mettre en rogne, alors m’aigrir… l’avantage d’avoir un naturel cynique, je pense ;) )


votre avatar

Étant dans l’info-gérance depuis moins d’un an aujourd’hui (newbz in dat place), je suis curieux de connaître l’origine exacte de la faille côté hébergeur.

&nbsp;

Par contre je n’ai pas compris comment l’hébergeur pouvait être responsable des retours du moteur de recherche du site, cela me semble être un problème de code non ? Ou alors cela vient-il d’une mauvaise configuration d’une base de donnée un peu trop ouverte et permissive ? Après tout, si le code n’est pas en cause, c’est le moteur du site qui a effectué une requête vers la base et c’est elle qui lui renvoi ces infos là. Un ordinateur ne se trompe pas, il fait ce qu’on lui demande, point.

&nbsp;

&nbsp;Là où l’hébergeur a (encore semble t’il) déconné, c’est que des documents n’étaient pas supprimer au bout de 24 heures (ce qui aurait fortement limité la fuite de données confidentielles). Pourtant un cron c’est relativement facile à mettre en place et à vérifier ça l’est encore plus.



Et mon année passée m’apporte un éclairage sur ce problème: que tu sois sorti d’une école ou&nbsp; que tu sois autodidacte, on te lâche un peu à la zob sur des serveurs où tu es en root/administrateur dès le début (même s’il est à noter qu’il est possible de connaître par différentes méthodes qui sont les auteurs du problèmes et que les backups servent à réparer les erreurs), on ne prend pas le temps d’évaluer profondément tes compétences&nbsp; ni de vérifier ton travail et au bout de quelques semaines on peut très vite te laisser mettre en place tout un site et les différents services d’un nouveau client.

&nbsp;Une société veut qu’un élément, même débutant, soit très rapidement autonome et capable de faire autant que ses collègues plus expérimentés.



À ça, on ajoute la fâcheuse tendance à toujours vouloir qu’on (techos) soit multitâche (traiter 2 ou 3 tickets en même temps, réceptionner des appels clients, faire du monitoring…) et cela que ça convienne à l’employé ou non (alors que ça devrait être, dans un soucis de qualité du travail et d’impact en terme de stresse sur l’employé, complètement facultatif).



Bref, pour moi c’est probablement un petit nouveau qui a fait une modif’ sur le serveur sans se rendre compte de l’impacte, et ça me fait me remettre en question sur mon propre travail.



Le techos a cette responsabilité, bien évidemment, de s’assurer que son travail est bien fait. Cependant, il est commun je pense d’être dans un service en sous-effectif, débordé et tout ça à cause de problème financier (une direction qui n’est pas prête à investir en amont pour éviter ce genre de problème par exemple).



À ça on ajoute des docs client pas toujours complète, pas à jour voir inexistante… Et dans le cas d’un nouveau client, la boite d’info-gérance groupe-infoclip.com a sûrement négligé une vérification des différentes fonctionnalités sensibles du client.

&nbsp;Le développeur a la responsabilité d’avoir un code sécurisé, l’hébergeur d’avoir une infra qui tienne le coup.



Il y a beaucoup de développeurs et d’administrateur système dans le métier, car ils sont essentiels pour la mise en place d’un site, mais je n’ai pas souvent croisé des responsables/agent qualités et des testeurs, il est pourtant facile et rapide de mettre en place des tests automatisés (ou unitaire) pour vérifier ce genre de faille (je pense à Robotframework et Selenium2Library). Sans savoir coder une seule ligne sur des langages communs (PHP, Java, Python, Bash…).



Bref, il est dommage qu’on en sache pas plus (y’a rien à cacher désormais, c’est corrigé, non? NON ?).

votre avatar







Patch a écrit :



Dire que je suis passé dans le mode de fonctionnement opposé (moins j’en sais mieux c’est)… <img data-src=" />

Si je montre que je suis trop compétent, on va me demander de faire des trucs qui sortent du cadre de mon travail et de ma fiche de poste. C’est déjà un peu le cas, et je cherche à limiter ca au maximum pour pas me retrouver à faire le taf de 3 personnes en même temps…







C’est ce que j’aurais du faire, parce qu’en règle général, au niveau de la direction, tant qu’ils gagnent ils jouent…


votre avatar

L’initiative est à l’opposé de la vertu cardinale du fonctionnaire (je parle de l’obéissance bien sûr, pas de la ponctualité ;-)).

votre avatar







Quiproquo a écrit :



L’initiative est à l’opposé de la vertu cardinale du fonctionnaire (je parle de l’obéissance bien sûr, pas de la ponctualité ;-)).



Ca dépend de la catégorie.

La catégorie C est là pour appliquer des tâches, donc en théorie oui tu as raison. La B, ce sont des équivalents agents de maîtrise ou assimilés cadres, avec des responsabilités : il y a régulièrement des initiatives qui peuvent être mises en place. Et la A, c’est direction ou assimilé. Si là tu ne fais pas preuve d’initiative, tu n’en feras jamais <img data-src=" />


votre avatar

Disons que les cadres supérieurs (et les directeurs) supportant mal de ne pas être avertis préalablement de toute action sortant un peu de la routine sont plus la norme que l’exception dans nos chères administrations. Donc même en catégorie A il faut souvent marcher sur des œufs.

votre avatar







Quiproquo a écrit :



Disons que les cadres supérieurs (et les directeurs) supportant mal de ne pas être avertis préalablement de toute action sortant un peu de la routine sont plus la norme que l’exception dans nos chères administrations. Donc même en catégorie A il faut souvent marcher sur des œufs.



Le problème étant quand ca fait justement partie de notre taf et nos prérogatives.

Je vais te donner un exemple concret : il y a un peu plus d’un an, l’équipe informatique de l’hôpital du coin nous a contacté pour pouvoir augmenter le débit de leurs lignes entre eux et nous (on a une zone médicale dans la prison qui appartient à l’hôpital) dans le but de faire des interventions à distance (pour éviter que leurs médecins ne doivent venir chez nous, ou pour nous éviter une partie des extractions médicales). On a répondu sur les points qu’on savait, en prenant le soin de mettre en copie des mails tous les membres de la direction pour qu’ils soient au courant. Résultat : on s’est fait taper sur les doigts parce qu’on a fait preuve d’initiative, ils ont récupéré le dossier, et comme ils n’y comprennent pas plus en technique (ni en quelque soit d’autre d’ailleurs, leurs 3 compétences au total étant le brassage de vent, la langue de bois (pour ne pas dire le mensonge) et le foutage de gueule) que moi en thermonucléaire, l’hôpital attend un retour depuis ce temps…

Et c’est systématiquement ca pour le moindre dossier, quelque soit le service concerné. Idem pour les attachés, s’ils OSENT faire qque chose que la direction ne leur a pas expressément dit de faire, ils se font tomber dessus, et au final sont cantonnés à des rôles de secrétaire administratif un poil amélioré et pas d’attaché… C’est d’ailleurs le seul endroit où j’ai pu voir l’intégralité des membres de la direction faire l’unanimité. Mais l’unanimité contre eux.


votre avatar

C’est vraiment à se tirer les cheveux.



Les types prennent des décisions de ouf, niveau technique sans consulter au paravent&nbsp; les gens adéquate. Après, iels viennent à la fin en costard pour les photos et bim.

votre avatar







trOmAtism a écrit :



C’est vraiment à se tirer les cheveux.



Les types prennent des décisions de ouf, niveau technique sans consulter au paravent  les gens adéquate. Après, iels viennent à la fin en costard pour les photos et bim.



Je te rassure : en local ce n’est pas mieux…

A mon taf pendant 3 semaines on était obligé de courir dans tous les sens pour des opérations et travaux à faire en urgence, pour un truc dont on connaissait l’existence depuis quasi 2 ans qui arrivera à terme au 1er janvier 2018, mais pour lequel la direction n’a commencé à y penser qu’en septembre, avant de tout enclencher à la mi-novembre… Il n’y a qu’aujourd’hui où j’ai une période d’accalmie où j’ai réussi à m’asseoir à mon bureau plus de 20 min.


votre avatar

On est d’accord je pense, le problème n’est pas technique, il est organisationnel. Mon propos, c’est que l’organisationnel est souvent géré par des gens qui ont une culture technique des plus limitées, et en plus leur fierté leur interdit de prendre en compte l’avis de ceux qui ont la compétence technique.

votre avatar

Public, privé, même combat lorsque la structure est grande. Janvier : la machine vibre un peu, il faudrait y regarder - Décembre : panique à bord ,la machine vibre, pas possible d’usiner une pièce, on va pas faire le chiffre de l’année…

votre avatar







mtaapc a écrit :



Faut pas oublier qu’en plus en France, la technique c’est sale et ça paye pas, les plus grands  pouvoirs de décision sont souvent pour ceux qui sont le moins compétents techniquement (t’es bon techniquement -&gt; tu bouges pas on va galérer à te remplacer, t’es mauvais techniquement -&gt; une belle carrière de manager s’ouvre à toi)







La technique c’est une charge, pour les décideurs. La plupart d’entre eux étant incapable de faire la différence entre un ASR, un DevOps un dev et un intégrateur web, cette charge est presque toujours sous-évaluée et l’est d’autant plus que les gens en charge (de la technique) sont compétents et se démènent pour éviter les problèmes : mieux tu bosseras (sans les moyens normaux de le faire), plus ton domaine de compétence sera dénigré. Un cercle vicieux… Jusqu’à l’incident majeur.



À partir de là, ce sera souvent un bel exemple de l’effet Dunning-Kruger de la part des managers, mais pas toujours. En l’espèce, le responsable semble bel et bien assumer la responsabilité de l’erreur, ce qui me parait constituer un éventuel bon point de départ pour une prise de conscience et une évolution dans le bon sens.



Pour évoquer rapidement ton post suivant, si tu travailles dans l’industrie je pense que tu n’as pas la plus mauvaise position dans le secteur. Le web (sujet de l’article), c’est je pense l’un des pires secteurs du domaine informatique. Y a des armées de « spécialistes » et de « chefs de projets » à entretenir avec les budgets : les investissements techniques y sont régulièrement les parents pauvres, en build comme en run.


votre avatar

Celui qui décide doit également prendre en compte d’autres facteurs que les facteurs de pure sécurité. C’est une activité à part entière et celui qui veut le faire bien doit toucher à bien plus de chose que la simple culture technique.



A la défense de ceux qui ont pour tâche de manager, c’est parfois difficile de justifier une décision prise en ayant la vision d’ensemble à un spécialiste qui connaît certes mieux un seul des aspects de la question.

votre avatar

Et tu ne suggères pas au techniciens Bac+2 de gagner un diplôme par VAE ?

votre avatar

je fus technicien avec un BTS, j’adorais mon boulot toussa, je vais me qualifié de compétent standard, rien de transcendant mais pas cassos non plus.&nbsp; force de proposition, pour faire en général dans les 50k€ d’economie /an + productivité améliorer pour l’ensemble des techniciens, client très content etc …



tous cela pour un salaire de technicien <img data-src=" /> of course, le même que celui des technicien dit ‘cas social’ qui sont juste présent.



j’arrive a passer manager avec des vae + formation, mais je ne fait plus mon travail de technicien que j’appréciais, par contre j’ai un plus gros salaire. J’aurais préféré pouvoir avoir un gros salaire en restant technicien<img data-src=" />, mais&nbsp; c’est impossible ! j’avais autour de moi des techniciens avec 20 ans de boite qui avait a peine 50€ de plus que moi, même les meilleurs,&nbsp; sans dec ! ca te donne une vision de l’avenir plutôt bouché.

votre avatar

D’accord mais en quoi cela toucherait l’administration française en particulier?

Je ne dis pas que l’administration française est exempt de problèmes mais pas plus que dans d’autres pays.

Pourtant, certains commentaires appuient sur ce point précis, sans doute par haine s’il n’y a pas d’autres raisons.


votre avatar







Cetera a écrit :



D’accord mais en quoi cela toucherait l’administration française en particulier?

Je ne dis pas que l’administration française est exempt de problèmes mais pas plus que dans d’autres pays.

Pourtant, certains commentaires appuient sur ce point précis, sans doute par haine s’il n’y a pas d’autres raisons.







Peut-être qu’on évoque plus volontiers l’administration française simplement eu égard au fait que l’éventuel dysfonctionnement des services en ligne de l’administration de la Guinée Bissau à moins d’impact sur nos vies de citoyens français (~majorités de lecteurs) ?



Edit : cohérence et ortho


votre avatar







Cetera a écrit :



D’accord mais en quoi cela toucherait l’administration française en particulier?

Je ne dis pas que l’administration française est exempt de problèmes mais pas plus que dans d’autres pays.

Pourtant, certains commentaires appuient sur ce point précis, sans doute par haine s’il n’y a pas d’autres raisons.





A part moi, farouche opposant à l’opendata envisagée tel quel, les autres rigolent plus pour la sécurité bousculée par les DDOS que l’opendata (dont, je ne vois pas beaucoup d’opposants)


votre avatar

Hello



Même avec les logs pas évident de savoir ce qui a été dumpé/téléchargé, auriez vous un outil qui pourrait aider à cela ?



On a le même genre de problématiques, difficile d’évaluer les dégâts potentiels ou l’ampleur du brèche de ce genre :/



Merci d’avance. :)

votre avatar

Ce doit être de l’ironie de ta part voir peut être de l’humour parce que sinon je ne vois pas trop le rapport.



Je n’évoque pas les problèmes mais la façon dont certains les traitent. Sans les juger d’ailleurs car je pense que ce sont des suiveurs qui ne font que répéter ce qu’ils entendent comme on suit une mode sans en comprendre véritablement les enjeux. Vomir sur la France en l’associant systématiquement à chaque faits négatifs et laisser ainsi supposer qu’il y aurait une spécificité française: on est des gros nuls en France, spécialement en France et ailleurs l’herbe est plus verte.





Faut pas oublier qu’en plus en France, la technique c’est sale et ça paye pas







Je crois qu’il y’a une espèce de competition entre les SSII françaises à qui fera le truc le moins bien pensé







méthodes agiles labellisées French Tech ?






votre avatar







mtaapc a écrit :



Public, privé, même combat lorsque la structure est grande. Janvier : la machine vibre un peu, il faudrait y regarder - Décembre : panique à bord ,la machine vibre, pas possible d’usiner une pièce, on va pas faire le chiffre de l’année…



Le problème n’est pas la taille de la structure, mais les compétences : dans les membres de ma direction, il n’y a absolument rien à en tirer de bon :

-Mensonges éhontés (parfois sur des détails complètement débiles ou sur des trucs pour lesquels tout le monde sera de toute facon au courant 2 mois après…)

-Absence de prise de décision (ou alors au tout dernier moment lorsque c’est devenu urgentissime, comme pour ta machine, de facon à ce que rien ne soit fait correctement)

-Management absolument exceptionnel(lement mauvais) où les agents sont traités comme de la merde que ca soit par les actes comme par les paroles (j’ai eu droit à ce genre de paroles ce matin, d’ailleurs. Etrangement en retour, je me suis contenté du strict minimum syndical et n’ai fait aucun effort pour résoudre le problème, qui reste toujours présent)…

Quand à côté les détenus qu’on garde doivent absolument avoir droit à leur (grand) confort, sinon ils ne vont pas être bien les pauvres petits!



Au niveau national, c’est “on se fout ouvertement de votre gueule et nous vous imposons des trucs contre lesquels on manifesterait si ca ne ferait qu’éfleurer l’esprit de nos supérieur de juste nous le proposer, et si vous n’êtes pas content c’est pareil, nous sommes qui décidons”…


votre avatar

Bonjour, c’est possible que des informations médicales soient communiquées lors des recrutements, notamment pour justifier d’un statut particulier (personnes en situation de handicap par exemple). Bonne journée.

votre avatar

Par rapport à ta première citation qui vient de mon commentaire, quelques précisions :




  • je me considère plutôt patriote, surtout du point de vue économique (y’a que du losange dans ma cour <img data-src=" />)

  • pour reprendre les propos d’un collègue : “En France, tu seras jugé toute ta vie professionnelle sur ta maturité&nbsp; à 18 ans (=ton diplôme), dans les pays Anglo-saxons, on se fout de savoir ce que tu as comme bout de papier passé 30 ans”



    Je persiste, on a un vrai problème en France à tout conditionner au diplôme / grille, ce qui fait que bon nombre de jeunes techs compétents se barrent là où leur reconnaissance de compétence ne sera pas conditionné à un bout de papier (et c’est pas pour mon cas perso, j’ai un diplôme d’ingé…).

votre avatar

C’est la même SSII que pour la sncf ?

votre avatar

J’ai du mal a comprendre pourquoi des dossiers médicaux transitent par le site institutionnel… C’est assez étrange comme demande d’informations pour un service public en ligne.

Le reste, à la rigueur, ça peut se comprendre mais bon…



Et stocker ce genre de choses, même que 24h, c’est tordu aussi. Enfin bon, ça n’est ni le 1er et ce ne sera pas le dernier site mal branlé à être mis en ligne…

votre avatar

Il y avait déjà des fuites de données il y a 4 ans. Une ou deux lignes de script pour chiffrer à l’arrivée (script fourni contre un timbre poste et une enveloppe) et hop il n’y aurait plus eu de problème. En plus c’est du Drupal, on peut bricoler facilement.



C’est pas la meilleure des solutions mais ça aurait suffi <img data-src=" />

votre avatar

Eh ben bravo….

votre avatar



« On a eu un souci technique, on a changé d’hébergeur il y a très peu de temps, il y a un mois et demi » nous explique le responsable. Cette migration est semble-t-il l’origine de la fuite dont il est aujourd’hui question.





Plan de test ? Recette ? connais pas.



Si le nouveau serveur affiche la page d’accueil =&gt; go live !

votre avatar

On rencontre le même type de problèmes, mon évocation de la taille c’est surtout par rapport au fait que je bosse avec des petites entreprises (d’un très haut niveau technique) d’une cinquantaine de salariés.



Dans leur cas pas ce genre de soucis car sinon la boîte ne tient pas longtemps dans leur domaine, à côté de ça ils ont d’autres problématiques, mais là l’échelle hiérarchique c’est un 3-marches et les mauvais sortent vite du lot donc de la boîte.

votre avatar

Et le VAE c’est pas non plus transparent, entre ceux qui ont une famille à gérer et ceux qui ont passé les 50 ans et comptent maintenant les années avant la retraite, ça limite les candidats. Et la couche RH qui complexifie volontiers les démarches pour contenir la masse salariale….



A côté de ça, on a un projet majeur pour la boîte (ça chiffre en M€) qui a pris une semaine de retard parce que le tech qui programme une machine a été en arrêt de travail une semaine…&nbsp;&nbsp;

votre avatar

Si ma réponse frisait (me semblait-il évidemment) le sarcasme, pour autant je reste persuadé que beaucoup font l’amer constat de ce qui apparaît clairement, à leurs yeux, comme un appauvrissement de leur métier/activité et globalement de notre « capacité à faire (bien) », en France. Et je crois que si on évoque notre pays, c’est avant toute chose parce que c’est celui qui nous intéresse, puisque nous y vivons. S’il te plaît de croire que c’est une forme de haine anti-nationale (?), avoue tout de même que ce serait surprenant et assez extrême, pour les citoyens du pays qui passe à l’étranger pour l’un des plus chauvin et prétentieux du monde…



Sans préjuger des raisons de ce sentiment d’amertume, je pense qu’il devient de plus en plus risqué d’associer ça de façon simpliste à de la détestation ou de la haine, tout autant qu’à du vieux-isme (« De mon temps, gamin, on aurait… Etc. »), par exemple. En tout cas, je me garderai de juger du patriotisme d’une personne à son aptitude à appliquer la Méthode Coué ou l’autre.



Bref.

votre avatar







mtaapc a écrit :



On rencontre le même type de problèmes, mon évocation de la taille c’est surtout par rapport au fait que je bosse avec des petites entreprises (d’un très haut niveau technique) d’une cinquantaine de salariés.



Dans leur cas pas ce genre de soucis car sinon la boîte ne tient pas longtemps dans leur domaine, à côté de ça ils ont d’autres problématiques, mais là l’échelle hiérarchique c’est un 3-marches et les mauvais sortent vite du lot donc de la boîte.



Au moins il y un tri du bon grain et de l’ivraie…







mtaapc a écrit :



Et le VAE c’est pas non plus transparent, entre ceux qui ont une famille à gérer et ceux qui ont passé les 50 ans et comptent maintenant les années avant la retraite, ça limite les candidats. Et la couche RH qui complexifie volontiers les démarches pour contenir la masse salariale….



A côté de ça, on a un projet majeur pour la boîte (ça chiffre en M€) qui a pris une semaine de retard parce que le tech qui programme une machine a été en arrêt de travail une semaine…



Les services importants qui ne tournent que grâce à 1 mec où tout s’arrête dès qu’il n’est pas là, ca me fait toujours halluciner. Le jour où il part, le service voire la boîte peut fermer!


votre avatar

il y a aussi le fait que certains pensent justement que le jours où son second en saura plus que lui, il sera mis dehors (faire apprendre n’est plus sa priorité, c’est défendre sa place, combien de gens se font piéger par leur direction après 50 ans sans une once d’humanité)

votre avatar







2show7 a écrit :



il y a aussi le fait que certains pensent justement que le jours où son second en saura plus que lui, il sera mis dehors (faire apprendre n’est plus sa priorité, c’est défendre sa place, combien de gens se font piéger par leur direction après 50 ans sans une once d’humanité)



Dire que je suis passé dans le mode de fonctionnement opposé (moins j’en sais mieux c’est)… <img data-src=" />

Si je montre que je suis trop compétent, on va me demander de faire des trucs qui sortent du cadre de mon travail et de ma fiche de poste. C’est déjà un peu le cas, et je cherche à limiter ca au maximum pour pas me retrouver à faire le taf de 3 personnes en même temps…


votre avatar







Login10 a écrit :



Bonjour, c’est possible que des informations médicales soient communiquées lors des recrutements, notamment pour justifier d’un statut particulier (personnes en situation de handicap par exemple). Bonne journée.







Merci pour l’info :)


votre avatar

Je comprends <img data-src=" />

votre avatar

j’ai pas eu cette sagesse <img data-src=" />

votre avatar

A partir du moment où l’information se trouve dans les logs du serveur web (log_access, log_error) ou de l’applicatif (le framework pouvant masquer les fichiers consultés il est important que l’application génère les logs) il y a plusieurs logiciels utilisables.

Pour la simple analyse statistique de logs apache un logiciel comme AWstats peut suffire et pour des analyses plus poussées avec plusieurs sources de logs : une solution à base d’ElasticSearch permet de tout trouver (mais la solution est plus lourde à mettre en œuvre)

votre avatar

C’est pour ça qu’on paye le type plus que la moyenne. Ça fait toujours moins cher que 2 salaires.

Je le sais, je suis dans ce cas : je suis le seul à connaître/programmer l’ERP custom 1987 qui fait fonctionner la boîte.

votre avatar

Quand tu es tout seul, ça arrive immanquablement. Et tu accumules fonction par dessus fonction, jusqu’au moment où ça déborde, et là on te signifie que ce serait bien que tu te concentres sur ta tâche principale (mais sans aucune ressource supplémentaire pour le reste).

votre avatar

Ayant dépassé la cinquantaine, j’avoue volontiers que j’ai fixé une règle de mentorat/coaching/blablatisme pour les nouveaux programmeurs qu’on m’adjoint de force : Si tu ne sais pas, cherche. Si tu ne trouves pas, cherche ailleurs <img data-src=" />

votre avatar

<img data-src=" />

votre avatar







WereWindle a écrit :



j’ai pas eu cette sagesse <img data-src=" />



Rien ne t’empêche de recadrer les choses peu à peu!







Aloyse57 a écrit :



C’est pour ça qu’on paye le type plus que la moyenne.



Ca, c’est une spéculation de ta part, mtaapc n’a pas parlé du salaire du tech en question. Il y a beaucoup de boîtes où le mec seul se démerde avec son salaire de base, et il n’aura jamais plus même s’il fait plus.







Aloyse57 a écrit :



Quand tu es tout seul, ça arrive immanquablement. Et tu accumules fonction par dessus fonction, jusqu’au moment où ça déborde, et là on te signifie que ce serait bien que tu te concentres sur ta tâche principale (mais sans aucune ressource supplémentaire pour le reste).



Immanquablement, non. Faut savoir dire non, ou “prouver” son incompétence sur les tâches autres pour rester en paix. De mon côté vu que je ne peux pas dire non sans qu’on me tombe dessus, je deviens volontairement incompétent…


votre avatar

Sans le $ en plus, dans mon cas, j’aurais aussi muté en @Patch <img data-src=" />

votre avatar

Respect. <img data-src=" />

votre avatar

Au moins le gars ne se cache pas derrière son petit doigt, en accusant un prestataire ou un stagiaire.

Et ils ont été réactifs pour colmater la brêche et répondre à NXi.&nbsp; Ca change des demandes CADA hein ! <img data-src=" />

votre avatar

“Le site ne dispose pas d’outils de gestion des statistiques sur les

accès aux fichiers afin de savoir quel document a été téléchargé, par

qui et combien de fois, « mais on devrait pouvoir l’estimer » espère Bertrand Matge.”



Il n’y a pas les logs du serveur web ?

votre avatar

Je crois qu’il y’a une espèce de competition entre les SSII françaises à qui fera le truc le moins bien pensé

votre avatar

Faut pas oublier qu’en plus en France, la technique c’est sale et ça paye pas, les plus grands&nbsp; pouvoirs de décision sont souvent pour ceux qui sont le moins compétents techniquement (t’es bon techniquement -&gt; tu bouges pas on va galérer à te remplacer, t’es mauvais techniquement -&gt; une belle carrière de manager s’ouvre à toi)

votre avatar

méthodes agiles labellisées French Tech ?

<img data-src=" />

votre avatar

Afin d’économiser l’espace disque et le salaire d’un administrateur réseau/sécurité, la plateforme web choisie utilise la configuration “access_log off”. <img data-src=" />

votre avatar

Ca promet avec la promesse du Gouvernement de permettre de faire toutes les démarches administratives depuis Internet … <img data-src=" />





ca va être la fête aux usurpations d’identités et autres joyeusetés avec des “failles” pareilles. <img data-src=" />

votre avatar

C’est vraiment la honte.



Même la réaction fait peur - le coup des “24h de grâce” est plus que douteux.

&nbsp;

J’ai pris la liberté de regarder le parcours professionel de la personne qui a eu le courage de répondre aux questions (on peut lui accorder ça), et désolé, mais ça n’est pas un professionnel des systèmes d’information.



Franchement c’est n’importe quoi, et si c’est représentatif de la façon dont ça se passe ailleurs dans l’administration, alors on est quand même très très mal…j’espère sincèrement que ce n’est pas le cas!

votre avatar

Je pense que tu prends le problème à l’envers.



C’est pas parce qu’un gars est mauvais techniquement qu’on va le placer à la tête de l’équipe.

C’est parce qu’un gars est mauvais techniquement qu’il va se lancer dans le management.



Et la technique ne paye pas, ca dépend où. Il y a des boîtes qui reconnaissent ces compétences.

votre avatar

J’aime bien le filtre coloré utilisé pour flouter les documents, je n’avais pas encore vu cette méthode des mini-triangles. <img data-src=" />

votre avatar

La Hadopi n’a envoyé qu’un premier avertissement, les ayants droits sont scandalisés de ces fuites privées<img data-src=" />

votre avatar







Groupetto a écrit :



C’est vraiment la honte.



Même la réaction fait peur - le coup des “24h de grâce” est plus que douteux.

 

J’ai pris la liberté de regarder le parcours professionel de la personne qui a eu le courage de répondre aux questions (on peut lui accorder ça), et désolé, mais ça n’est pas un professionnel des systèmes d’information.



Franchement c’est n’importe quoi, et si c’est représentatif de la façon dont ça se passe ailleurs dans l’administration, alors on est quand même très très mal…j’espère sincèrement que ce n’est pas le cas!







J’ai les mêmes dans ma crémerie, mais encore pire ! <img data-src=" />

Du genre :




  • serveurs web ?

  • Oui possible on a ça…

  • A quoi servent-ils ?

  • Euh attendez, je me renseigne auprès de mes gus… <img data-src=" />



    Ca fait peur, mais heureusement, ce sont des visionnaires, des as du pilotage rh et techos… <img data-src=" />


votre avatar

en france, cela n’existe pas.



il y a une jolie feuille dans chaque convention collective qui défini le salaire mini de toute l’echelle, ouvrier -&gt; cadre dirigeant. Tous ce qui n’est pas cadre, quelque soit le niveau technique reste/restera cantonné au grille de salaire minimum.



sauf boite étrangère, et évidement dans n’importe qu’elle pays européen n’ayant pas cette fameuse grille de salaire défini.

Yaka regarder les offres d’emploi de l’anpe pour techos, je n’ai jamais vu ni vécu : et si vous etes très bon on vous augmente jusqu’a 40k€/an pour le même travail. <img data-src=" />



&nbsp;

votre avatar

ce sont les premiers, pas les derniers ….&nbsp; malheureusement…

votre avatar

Un CRON qui n’a pas été remis, génial.

votre avatar

Je me demande si les services de l’état sont soumis a gdpr par ce que ca au mois de mai c 4% du chiffre d’affaire cape a 20 millions…. si c’etais mes impôts je rigolerais

votre avatar

Pour une fois qu’un site institutionnel fait de l’open data, y’en a qui critique <img data-src=" />

votre avatar

Au fait, le mot fuiter n’existe pas, c’est fuir qui existe. Il serait temps d’utiliser les vrais mots

.

votre avatar

C’est Raymond Queneau qui a commencé. ;-)

votre avatar







spidermoon a écrit :



Pour une fois qu’un site institutionnel fait de l’open data, y’en a qui critique <img data-src=" />





+1 il n’y a que des français pour râler comme ça


votre avatar







Z-os a écrit :



C’est Raymond Queneau qui a commencé. ;-)





<img data-src=" /> lien corrigé


votre avatar

Nous fuitons, il faudra changer nos langes <img data-src=" /><img data-src=" />

votre avatar

<img data-src=" />

votre avatar

Il faudrait un peu arrêter de taper sur la France à chaque nouvelle de ce genre. Chaque pays connait ce genre de situation.

Vomir sur la France semble rester une obsession pour beaucoup.

C’est bien triste.

votre avatar

J’en suis à 15 ans d’industrie, cadre qui n’encadre que lui-même depuis toujours car passe ses journées à faire des choses que peu font ou comprennent, côtoyant d’excellents techniciens coincés sous le plafond du Bac+2, et “managé” par des gens qui passent leur temps à jouer à la marchande incapables de faire la différence entre un relais et un boulon…



Dans ma précédente boîte, y’avait un dispositif nommé “parcours et compétences”, on l’a renommé “parcours ou compétences” et ça portait très bien ce nom, les plus mauvais techniquement (mais senior master powerpoint et pipeautage) montaient le plus vite…&nbsp;

votre avatar

Si ce n’est pas le cas ils sont hors-la loi&nbsp;

&nbsp;

votre avatar

si je comprend bien l’article, c’est pas la technique qui pêche mais bien l’organisation du service. L’aspect technique est essentiel, mais tout réduire à ça c’est se voiler méchamment la face.



Il faudra qu’on avance encore beaucoup pour ne serait-ce qu’envisager que les problèmes de données liés à l’organisation et au management du service puissent être abordés uniquement via des solution purement techniques.

votre avatar

C’est un réflexe pour certains. Mais effectivement, ce problème touche tout le monde, par exemple Uber.

votre avatar







Cetera a écrit :



Il faudrait un peu arrêter de taper sur la France à chaque nouvelle de ce genre. Chaque pays connait ce genre de situation.

Vomir sur la France semble rester une obsession pour beaucoup.

C’est bien triste.







Pourquoi, font-ils l’autruche quand des experts leurs donnent des conseils en toutes choses. “anéfé, rejeté”



Des gens pourraient perdre leur travail pour certaines données confidentielles partagées dans la nature (ça, c’est bien plus grave en ignorant les conseils de précautions)


votre avatar

J’ai travailler dans la fonction publique.



Alors, je ne sais pas pourquoi mais pour tout et n’importe quoi, ça merde à 80%.



C’est fou..

votre avatar







trOmAtism a écrit :



J’ai travailler dans la fonction publique.



Alors, je ne sais pas pourquoi mais pour tout et n’importe quoi, ça merde à 80%.



C’est fou..



Moi je sais : parce qu’on est dirigé par des incompétents dans la FP. Suffit d’être une bête de concours ou d’être bien vu par la hiérarchie pour être proposé sur le tableau d’avancement, et tu grimpes, quellesque soient tes compétentes réelles.


Quand le site de la région Île-de-France laissait fuiter CV, passeports, RIB, bilans médicaux…

  • Lancez une recherche sur le moteur, servez-vous

  • Suite à un changement de serveur, les documents n'étaient plus supprimés

  • Une fuite rapidement colmatée, un nouveau site en préparation

  • Les utilisateurs impactés seront contactés individuellement

Fermer