Covid-19 et notification de contact par SMS, l’assurance maladie utilisait… bit.ly
Le 02 novembre 2020 à 08h45
1 min
Société numérique
Société
Sur Twitter, plusieurs personnes notifiées font état d'un SMS comprenant un lien raccourci exploitant le service américain, qui peut ainsi avoir connaissance des personnes ayant cliqué. Il renvoie vers un document PDF du site Ameli.fr.
Un membre de l'équipe en charge de la sécurité au sein de l'assurance maladie répond que le problème a été identifié et remonté aux personnes en charge du projet, le raccourcisseur ayant été utilisé pour réduire la longueur du SMS.
Un outil interne devrait bientôt être mis en place pour corriger le problème.
Le 02 novembre 2020 à 08h45
Commentaires (29)
Le 02/11/2020 à 09h21
Utiliser bit.ly….
Autant Mme Michu va pas faire gaffe, autant les utilisateurs averties ne vont pas cliquer car généralement un lien bit.ly dans un SMS = scam.
Le 03/11/2020 à 09h45
ce matin, j’ai reçu une tentative de phising via ce site web, pour Orange…
Le 03/11/2020 à 20h18
On a reçu le même alors! Mais il semble que ce soit, aussi, un message légitime car j’ai reçu le même message par email sur l’adresse que j’utilise pour mon abo Sosh / Orange…
Ils sont vraiment c….
Le 04/11/2020 à 09h12
Non, c’était bien une tentative de fishing, car l’URL n’avait rien à voir avec celle d’Orange, et il s’agissait d’un soi-disant message téléphonique d’un appel que je n’ai pas eu…J’aurai du le préciser.
Le 05/11/2020 à 14h53
Ah ok!
Perso j’ai bien le un SMS qui me disait qu’un message de la Directrice Générale Adjointe d’Orange était disponible… Avec un lien bit.ly…
J’ai pas cliqué, mais derrière j’ai reçu la même chose par mail…
Genre WTF!? Et puis pourquoi spécifiquement de la DG adjointe ?…
Le 02/11/2020 à 09h24
Ah la la, et mon taf qui a bloqué l’accès à bit.ly pour des raisons de sécu
Le 02/11/2020 à 10h17
Ce n’est pas comme si YOURLS (logiciel Libre, développé par un compatriote Breton, sécurisé, facile à implémenter) n’existait pas …
Je l’utilise déjà sur 3 de mes domaines de redirections : go.gdeinfo.fr, gde.la et fkz.re et aucun depuis l’installation (4 ans, mises à jour régulières) n’a été piraté ou en panne …
Si vous ne connaissez pas, consultez le site : https://yourls.org/
Le 02/11/2020 à 10h50
Perso je reçois un SMS avec lien bit.ly c’est mise en spam et suppression direct…
Le 02/11/2020 à 11h40
Fantastique la déchéance de la France : mise en place quasi systématique d’incompétents aux postes de direction.
Je le constate tout les jours maintenant.
Beaucoup prévoient déjà une troisième vague après un déconfinement pour les fêtes de Noël.
Le 02/11/2020 à 11h49
En logiciel libre, il y a également LSTU, utilisé entre autre par huit.re 😁
Le 02/11/2020 à 11h49
Je confirme, j’ai reçu le SMS en question de matin :
« ALERTE ARS : Vous avez ete recemment en contact avec un cas COVID positif. Rappel des consignes en cliquant sur ce lien bit.ly/2HtiJ6n
Respect des gestes barrieres et isolement sont les meilleurs moyens de proteger les autres. Vous travaillez dans un etablissement de soins ou medico-social ? Contactez le service RH »
Le lien bit.ly renvoie ici : République Française
Le 02/11/2020 à 12h02
Pareil, reçu le même ce matin. J’ai eu un doute quand j’ai vu bit.ly mais Comme je savais que j’allais recevoir un truc du genre car quelqu’un autour de moi est positif, j’ai hésité à cliquer. Et j’ai regardé sur internet, vu que j’étais pas le seul et que pourtant c’était officiel, du coup je suis allé me faire fouiller le fond du nom. Mais c’était très surprenant et je suis sûr qu’il y avait moyen de faire tout rentrer dans un sms en raccourcissant le nom du fichier pdf !
Le 02/11/2020 à 12h48
Au pire, r.gouv.fr/ ou quelque chose comme ça, ça se met en place rapidement et ça fait moins “peur”
Le 02/11/2020 à 13h04
Ils sont drogués aux services US…
Et maintenant, non sécurisés !
Le 02/11/2020 à 14h59
Jamais compris l’engouement pour les services de raccourci d’url ….
Le 02/11/2020 à 16h57
oui et s’il veulent encore raccourcir un peu il peuvent prendre gouv.fr/id (et en profité pour le mettre partout (site d’état) email du gouvernement, twitter), comme ca les gens s’habitueront a voir gouv.fr pour les communications publique et se méfieront d’un bit.ly).
Le 02/11/2020 à 17h39
Je suppose que les url longues ont le même effet sur certaines personnes que les url raccourcies ont sur moi.
Le 02/11/2020 à 19h06
Utiliser un raccourcisseur d’url dans un SMS (140 caractères à la base), c’est compréhensible. Par contre, utiliser celui d’un GAFAM quand tu es l’Assurance Maladie, c’est
Le 02/11/2020 à 19h20
Boarf, qui n’a pas encore un forfait à sms illimités ?
Le 02/11/2020 à 19h25
L’Assurance Maladie doit payer ses SMS. Si elle double le nombre pour envoyer une URL longue, elle double sa facture.
Le 02/11/2020 à 19h32
Le 02/11/2020 à 20h27
La semaine dernière j’ai été notifié en direct par téléphone par l’hôpital où un collègue avait été admis suite à ses symptômes, par contre je n’ai jamais reçu le moindre sms malgré que j’ai été cas contact confirmé.
Cela dit si j’avais reçu un lien avec le raccourciseur d’url favoris des scamers et des sites pirates jamais je n’aurais cliqué dessus
Le 02/11/2020 à 22h58
Alors non c’est pas un GAFAM (autrement dit, bit.ly n’appartient pas à Google, Amazon, Facebook, Apple, ou Microsoft). Par contre c’est une bonne grosse entreprise qui fait de la thune en analysant l’utilisation de ses liens.
C’est incroyable, et je vois autour de moi, que les informaticiens ne soient pas du tout sensibilisés à la guerre économique, la confidentialité, à Snowden, bref au fait d’arrêter surtout d’utiliser des services états-uniens ou qui espionnent et revendent les données, c’est juste la base quoi !!
Le 03/11/2020 à 08h51
Hum…. j’espère que ce n’était pas trop douloureux.
Le 03/11/2020 à 15h05
Quand j’ai un doute sur un lien du genre, j’attends de pouvoir l’ouvrir sous Linux pour être tranquille. Ou sinon avec un “curl”, “wget” ou “lynx” on doit pouvoir récupérer le lien d’origine.
Tu crois vraiment que c’est quelqu’un a un poste de direction qui a choisi d’utiliser bit.ly ?
Le 03/11/2020 à 15h19
Ce quelqu’un à un poste de direction a choisi quelqu’un qui a choisi quelqu’un qui a choisi celui qui a choisi d’utiliser bit.ly.
Il est donc bien responsable !
Le 03/11/2020 à 15h30
Tu crois vraiment que quelqu’un de compétent aurait permis que que l’on utilise bit.ly ?
Le 03/11/2020 à 15h37
Arf
Tu devrais te renseigner sur ce que fait un directeur informatique comme travail précis, surtout dans une structure importante.
En revanche, le chef de projet ou architecte qui a validé de choix de bit.ly, c’est une autre question.
Le 03/11/2020 à 15h54
Tu devrais te renseigner sur l’appétence des incompétents à recruter des incompétents, le critère principal est avant tout d’avoir quelqu’un sachant se vendre (c’est à dire bien hypocrite et obéissant).
S’il ne pose pas de question c’est encore mieux.