Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Comment savoir si l’on est concerné par une fuite de données de santé ? La CNIL répond

Comment savoir si l'on est concerné par une fuite de données de santé ? La CNIL répond

Le 02 mars 2021 à 08h56

Alors qu'un fichier détenant les données de 500 000 patients est en circulation, sans que les personnes concernées n'en aient été informées jusque-là, nombreux sont ceux qui se demandent comment savoir s'ils font partie de la liste.

Il faut tout d'abord se méfier des sites vous proposant de le vérifier et ne surtout pas leur livrer d'informations personnelles. S'il s'agit parfois de sites cherchant simplement à attirer des internautes pour gagner des affichages publicitaires, ils peuvent aussi avoir un but malveillant.

De plus, ce fichier ayant été obtenu illégalement, sa diffusion ou l'utilisation de ses données peut poser des problèmes juridiques. La CNIL a donc décidé de faire le point pour informer les internautes de leurs recours.

La Commission rappelle que « si cette violation vous concerne, l’organisme responsable doit vous en informer dans les meilleurs délais ». Cela devrait d'ailleurs bientôt être le cas dans l'affaire du fichier des 500 000 patients, comme nous l'avions évoqué

Si « la CNIL n’est pas en mesure de vous informer de la présence de vos données dans ce fichier », elle précise que « tous les laboratoires [...] ont indiqué qu’ils allaient informer les personnes concernées. La CNIL s’assurera que ce soit fait dans les plus brefs délais ».

Elle invite ensuite les personnes concernées à changer leur mot de passe. Si vous pensez avoir été victime d'une usurpation d'identité, elle précise qu'il faut vous rendre sur le site officiel Cybermalveillance et déposer plainte.

Le 02 mars 2021 à 08h56

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Faisant partit de la zone géographique concernée par cette fuite, je me suis fié au site : https://fuitededonneesdesante.acceis.fr/, relayé par 20minutes.fr : https://www.20minutes.fr/societe/2985875-20210225-fuite-donnees-medicales-site-mis-ligne-savoir-si-concernes



Site que j’attendais de pied ferme et je suis déçu que ce ne soit pas une haute autorité qui l’ait fait.



C’est sur qu’il faut être prudent pour ce genre de site de tests, mais depuis que la fuite a été annoncée, est-ce beaucoup de personnes ont vraiment été contactées par les laboratoires ?



Après le test sur le premier site, je ne serais pas concernée. Ouf ! Mais après, si je l’avais été, à part être plus vigilant concernant les appels, les SMS ou courriel, il n’y a pas beaucoup d’autres possibilités.



Mais cela concerne beaucoup de personnes, qui elles, peuvent être moins vigilantes :/



Et quand je vois ça : https://www.zataz.com/pirater-3d-secure-2fa/, je pense que l’on peut presque tous se faire avoir :s

votre avatar

Ce site là est relativement safe : tu peux faire un curl POST avec --data-raw "SSN=le SHA256 calculé toi-même" et il retourne OK/KO selon si tu es dedans ou pas. Et comme ça tu es sûr qu’il y a rien d’autre que le SHA256.



Donc au pire ça leur donne un hash qu’ils ont déjà et ton IP (ben ouais…). Et ça permet d’avoir l’info.



Maintenant à voir si c’est vraiment safe ou pas, mais perso ça me choque pas.

votre avatar

Tout à fait, c’est bien pour ça que je l’ai utilisé, mais il n’a pas été mis en avant sur NextINpact, ni pas la CNIL par exemple.
C’est dommage que ce ne soit justement pas eux (la CNIL), en tant que garant, qui aurait pu mettre un site afin de vérifier si tu fais partit de la fuite ou non.



L’idée du hash est d’ailleurs une excellent idée et montre qu’il est possible de ne garder qu’une partie de l’info de façon sécurisé afin de comparer.

votre avatar

Le SHA256 d’un SSN ça se casse en quelques secondes…

votre avatar

Oui enfin, si tu vas par là, tu peux générer des millions de n° de sécu très probablement existants facilement déjà. Sachant que si le SHA256 est pas déjà dans leur base, alors ils savent pas s’il correspond bien à un SSN valide (je leur ai envoyé celui de « lol » par exemple, sans parler des fautes de frappe etc…). Et sauf à tous les bruteforce (parce qu’il y a pas d’autre moyen de reverse un hash que le brute force), ça n’apporte que dalle. Surtout que c’est la seule info qu’ils récupère si tu es pas déjà dans la base.

votre avatar

Justement, avec son format très spécifique, les SSN ça se bruteforce très rapidement. Il y a relativement peu de possibilités. Le premier chiffre c’est soit 1, soit 2 par exemple. Tu peux calculer le SHA256 de tous les SSN possibles en quelques secondes avec un CPU grand public, et ainsi avoir une rainbow table.

votre avatar

Tout à fait. Mais du coup un site qui récupère que des SSN sans autre info ne sert à rien. Vu que tu peux déjà les générer… l’intérêt c’est de recouper avec autre choses, mais vu qu’ils ont déjà le fichier qui contient ces autres choses je vois pas l’intérêt lol.

votre avatar

Pour faire ce genre de vérif, honnêtement rien de mieux que de vérifier à la source. Ca pose un problème légal mais au moins on est sûr de la fiabilité des infos et de pas balancer ses données personnelles à un tiers…



Parcontre pour les personnes concernées, il doit y avoir moyen de faire une action collective…

votre avatar

Et quand je vois ça : https://www.zataz.com/pirater-3d-secure-2fa/, je pense que l’on peut presque tous se faire avoir :s


Pourquoi on donnerait le code de double authentification à son banquier ? Parce qu’au final ça repose uniquement sur ça, on spoof le numéro de la banque pour paraître crédible mais pourquoi on aurait un appel de la banque qui nous demande le code de double authentification ?

votre avatar

(reply:1857342:j-dub)
C’est sur, cela peut paraitre étrange, mais l’interlocuteur va annoncer : un problème avec la carte, qu’elle va être bloquée, mais dans un soucis de sécurité, un code ait envoyé, bla, bla, bla…


Il peut être facile de tomber dans le panneau pour beaucoup.



Pour le spoofing de numéro, ça rajoute de la crédibilité à l’appel. J’ai le numéro de ma banque dans mes contacts, il est donc facile de le voir apparaitre comme étant le numéro légitime. La technique est rodée.



Par contre, ce que je ne comprend pas trop, dans le cas d’un SMS pour un paiement, il peut y avoir une sommes et le site concerné, donc là, c’est peut être aussi un point important qui peut faire capoter la transaction (en plus de ce que tu énonces).

votre avatar

(reply:1857355:j-dub)


Bonjour, j’ai lu le lien et je suis impressionné par une chose : le pirate arrive à faire apparaître son numéro comme étant le même que celui de la banque. Parti de là, je comprends tout à fait qu’il devient très probable de piquer les infos aux victimes.



Cependant, y a quelques points que j’ai pas très bien saisi… Si j’ai bien compris :




  1. Le pirate contacte la victime en se faisant passer pour la banque

  2. Le pirate lui raconte qu’il s’est produit quelque chose (c’est là où je ne comprends pas le mode opératoire)

  3. Le pirate lui demande de vérifier son identification via le code 2FA (qui dans la vidéo est un code 3D Secure) : là aussi j’ai du mal à comprendre, peut-on considérer le code 3D Secure comme une double authentification 2FA ?

  4. Le pirate utilise en direct le code pour valider une transaction sur un site marchant.



Merci pour vos retours.

votre avatar

Xandr0s a dit:


Il peut être facile de tomber dans le panneau pour beaucoup.



Pour le spoofing de numéro, ça rajoute de la crédibilité à l’appel. J’ai le numéro de ma banque dans mes contacts, il est donc facile de le voir apparaitre comme étant le numéro légitime. La technique est rodée.



Par contre, ce que je ne comprend pas trop, dans le cas d’un SMS pour un paiement, il peut y avoir une sommes et le site concerné, donc là, c’est peut être aussi un point important qui peut faire capoter la transaction (en plus de ce que tu énonces).


Ouais. Dans tous les cas les banques ont beau dire de ne jamais fournir à qui que ce soit ces codes ça arrivera toujours.

votre avatar

Cette belle non réponse. :incline:
Finalement, on ignore encore comment savoir.

votre avatar

sebtx a dit:


Pour faire ce genre de vérif, honnêtement rien de mieux que de vérifier à la source. Ca pose un problème légal mais au moins on est sûr de la fiabilité des infos et de pas balancer ses données personnelles à un tiers…



Parcontre pour les personnes concernées, il doit y avoir moyen de faire une action collective…


C’est la manière la plus sûre en effet, car les numéros de téléphone et adresse mails de contact peuvent évoluer.
Cependant, ce n’est pas envisageable car cela impliquerai que tu aie accès à des données sensibles.

votre avatar

Des données qui sont déjà publiques alors bon…



Une recherche Google avec les bons mots clés et tu tombes dessus…

votre avatar

Devoir faire confiance à une boîte qui a trahi la confiance de ses clients depuis des années pour savoir si on est iNpacté, c’est moyen.
Je comprends bien le problème légal derrière ça, mais j’espère que ça donnera à certains des idées pour améliorer les choses pour la prochaine fuite. (La sécu n’a pas les mails de ses clients ? Une administration quelconque ne pourrait pas proposer de tester son numéro de sécu après authentification via franceconnect/whatever en limitant le nombre d’interrogations de la base à 3 numéros de sécu par personne et en loguant tout, pratique pour vérifier papy/mamie/autre)

votre avatar

Deux trames de chiffres pour illustrer l’incompétence et le marasme collectif en matière de protection des données de santé des français :




  • D’un côté, on est dans un pays prêt à trouver/mettre 1 Milliard d’euros sur 4 ans pour augmenter la sécurité des SI

  • De l’autre côté, on se revoit la balle sur une fuite de données dont l’origine aurait été décelée et remontée par la plus haute instance nationale en la matière voici déjà 4 mois ; avec une seconde louche/alerte il y a 3 semaines par un site spézializé concernant un fichier d’un demi-million d’entrées qui se télécharge depuis le Net à gogo depuis maintenant 2 semaines.



Et encore ce jour (enfin hier), l’instance la plus haute en matière de protection des données à caractère personnel, nous dit juste : tout va bien on a eu les remontées des labos incriminés … sans aucun information si ce 12 million est l’épaisseur du trait ou la totalité des données ayant fuitée.



Le pire dans tout cela, reste qu’il faille plus attendre d’experts ou de sociétés spécialisées en Cyber que de l’Etat et de ses organismes, pour mettre à disposition (non sans risque) des outils pour permettre aux victimes de s’identifier !?!



Encore pire, aucune garantie ne sera établie ou communiquée permettant d’attester que les notifications émanant des labos (si elles parviennent toutes selon l’adresse postale détenue par le labo) couvriront l’ensemble des 491 840.



Quand aux sanctions, attendons encore avant de rire jaune sans doute en découvrant l’attribution des responsabilités de ce fiasco.

votre avatar

La France quoi…

votre avatar

C’est sûr on va déposer plainte…



Sans rire…

votre avatar

Comment savoir si l’on est concerné par une fuite de données de santé ?


Si Amazon vous propose des cercueils en promo, ca compte ?

votre avatar

tiens sur ce post, le site d’acceis ne se fait pas sworder contrairement à la la news nextinpact.com Next INpact

votre avatar

(quote:1857550:chasis.fan)


Ah mince :/

votre avatar

Juste une question naïve : comment il est possible d’appeler un particulier avec un numéro, et de faire afficher un numéro qui n’a rien à avoir avec le premier ? Vous me direz que quand une entreprise appelle, c’est le numéro principal qui peut s’afficher pas le numéro du poste interne (qui lui a un vrai numéro car on peut l’appeler directement de l’extérieur). Mais il y a un lien fort entres les numéros d’une entreprise : c’est le même client. Là on a un escroc qui se fait passer pour une banque : c’est donc si peu sécurisé que cela, la possibilité de faire un afficher un numéro si différent de celui de l’appelant ? Même préoccupation pour les appels venant de l’étranger, mais là c’est une autre paire de manches…

votre avatar

Sans entrer dans des détails hyper pointus que je ne maitrise pas, le principe c’est que dans l’absolu certaines données d’adressage peuvent être spoofées (tout simplement parce que c’est l’émetteur qui les envoie), sans que ça empêche l’appel de fonctionner



Et en général, de telles pratiques ne sont pas le fait de clients d’opérateurs français ayant pignon sur rue (ce serait alors facile de remonter à l’escroc), mais il y a aussi des transitaires, des “opérateurs” peu scrupuleux (généralement à l’étranger) qui font justement leur business en fermant les yeux sur certaines pratiques de leurs clients



Et à supposer que techniquement il soit possible de bloquer certaines pratiques comme le spoofing (ce qui n’est déjà pas simple du tout), les acteurs peu scrupuleux trouvent encore des alliés du côté des régulateurs divers et variés, sur le principe que ce serait anti-concurrentiel de bloquer les “opérateurs” peu scrupuleux… (je grossis à peine le trait)

Comment savoir si l’on est concerné par une fuite de données de santé ? La CNIL répond

Fermer