Connexion
Abonnez-vous

Covid-19 et notification de contact par SMS, l’assurance maladie utilisait… bit.ly

Covid-19 et notification de contact par SMS, l'assurance maladie utilisait… bit.ly

Le 02 novembre 2020 à 08h45

Sur Twitter, plusieurs personnes notifiées font état d'un SMS comprenant un lien raccourci exploitant le service américain, qui peut ainsi avoir connaissance des personnes ayant cliqué. Il renvoie vers un document PDF du site Ameli.fr.

Un membre de l'équipe en charge de la sécurité au sein de l'assurance maladie répond que le problème a été identifié et remonté aux personnes en charge du projet, le raccourcisseur ayant été utilisé pour réduire la longueur du SMS. 

Un outil interne devrait bientôt être mis en place pour corriger le problème.

Le 02 novembre 2020 à 08h45

Commentaires (29)

votre avatar

Utiliser bit.ly….



Autant Mme Michu va pas faire gaffe, autant les utilisateurs averties ne vont pas cliquer car généralement un lien bit.ly dans un SMS = scam.

votre avatar

ce matin, j’ai reçu une tentative de phising via ce site web, pour Orange…

votre avatar

On a reçu le même alors! Mais il semble que ce soit, aussi, un message légitime car j’ai reçu le même message par email sur l’adresse que j’utilise pour mon abo Sosh / Orange…



Ils sont vraiment c….

votre avatar

Non, c’était bien une tentative de fishing, car l’URL n’avait rien à voir avec celle d’Orange, et il s’agissait d’un soi-disant message téléphonique d’un appel que je n’ai pas eu…J’aurai du le préciser.

votre avatar

Ah ok!



Perso j’ai bien le un SMS qui me disait qu’un message de la Directrice Générale Adjointe d’Orange était disponible… Avec un lien bit.ly…



J’ai pas cliqué, mais derrière j’ai reçu la même chose par mail…



Genre WTF!? Et puis pourquoi spécifiquement de la DG adjointe ?… :roll:

votre avatar

Ah la la, et mon taf qui a bloqué l’accès à bit.ly pour des raisons de sécu :D

votre avatar

Ce n’est pas comme si YOURLS (logiciel Libre, développé par un compatriote Breton, sécurisé, facile à implémenter) n’existait pas …



Je l’utilise déjà sur 3 de mes domaines de redirections : go.gdeinfo.fr, gde.la et fkz.re et aucun depuis l’installation (4 ans, mises à jour régulières) n’a été piraté ou en panne …



Si vous ne connaissez pas, consultez le site : https://yourls.org/

votre avatar

Perso je reçois un SMS avec lien bit.ly c’est mise en spam et suppression direct…

votre avatar

Fantastique la déchéance de la France : mise en place quasi systématique d’incompétents aux postes de direction.
Je le constate tout les jours maintenant.



Beaucoup prévoient déjà une troisième vague après un déconfinement pour les fêtes de Noël.

votre avatar

En logiciel libre, il y a également LSTU, utilisé entre autre par huit.re 😁

votre avatar

Je confirme, j’ai reçu le SMS en question de matin :



« ALERTE ARS : Vous avez ete recemment en contact avec un cas COVID positif. Rappel des consignes en cliquant sur ce lien bit.ly/2HtiJ6n
Respect des gestes barrieres et isolement sont les meilleurs moyens de proteger les autres. Vous travaillez dans un etablissement de soins ou medico-social ? Contactez le service RH »



Le lien bit.ly renvoie ici : solidarites-sante.gouv.fr République Française

votre avatar

Pareil, reçu le même ce matin. J’ai eu un doute quand j’ai vu bit.ly mais Comme je savais que j’allais recevoir un truc du genre car quelqu’un autour de moi est positif, j’ai hésité à cliquer. Et j’ai regardé sur internet, vu que j’étais pas le seul et que pourtant c’était officiel, du coup je suis allé me faire fouiller le fond du nom. Mais c’était très surprenant et je suis sûr qu’il y avait moyen de faire tout rentrer dans un sms en raccourcissant le nom du fichier pdf !

votre avatar

Au pire, r.gouv.fr/ ou quelque chose comme ça, ça se met en place rapidement et ça fait moins “peur”

votre avatar

Ils sont drogués aux services US…
Et maintenant, non sécurisés !

votre avatar

Jamais compris l’engouement pour les services de raccourci d’url …. :fou:

votre avatar

kissifrot a dit:


Au pire, r.gouv.fr/ ou quelque chose comme ça, ça se met en place rapidement et ça fait moins “peur”


oui et s’il veulent encore raccourcir un peu il peuvent prendre gouv.fr/id (et en profité pour le mettre partout (site d’état) email du gouvernement, twitter), comme ca les gens s’habitueront a voir gouv.fr pour les communications publique et se méfieront d’un bit.ly).

votre avatar

bad10 a dit:


Jamais compris l’engouement pour les services de raccourci d’url …. :fou:


Je suppose que les url longues ont le même effet sur certaines personnes que les url raccourcies ont sur moi.

votre avatar

Utiliser un raccourcisseur d’url dans un SMS (140 caractères à la base), c’est compréhensible. Par contre, utiliser celui d’un GAFAM quand tu es l’Assurance Maladie, c’est :cartonrouge:

votre avatar

fred42 a dit:


Utiliser un raccourcisseur d’url dans un SMS (140 caractères à la base), c’est compréhensible. Par contre, utiliser celui d’un GAFAM quand tu es l’Assurance Maladie, c’est :cartonrouge:


Boarf, qui n’a pas encore un forfait à sms illimités ?

votre avatar

L’Assurance Maladie doit payer ses SMS. Si elle double le nombre pour envoyer une URL longue, elle double sa facture.

votre avatar

(reply:1834705:Winderly)lol


votre avatar

La semaine dernière j’ai été notifié en direct par téléphone par l’hôpital où un collègue avait été admis suite à ses symptômes, par contre je n’ai jamais reçu le moindre sms malgré que j’ai été cas contact confirmé.
Cela dit si j’avais reçu un lien avec le raccourciseur d’url favoris des scamers et des sites pirates jamais je n’aurais cliqué dessus :reflechis: :transpi:

votre avatar

fred42 a dit:


Utiliser un raccourcisseur d’url dans un SMS (140 caractères à la base), c’est compréhensible. Par contre, utiliser celui d’un GAFAM quand tu es l’Assurance Maladie, c’est :cartonrouge:


Alors non c’est pas un GAFAM (autrement dit, bit.ly n’appartient pas à Google, Amazon, Facebook, Apple, ou Microsoft). Par contre c’est une bonne grosse entreprise qui fait de la thune en analysant l’utilisation de ses liens.



C’est incroyable, et je vois autour de moi, que les informaticiens ne soient pas du tout sensibilisés à la guerre économique, la confidentialité, à Snowden, bref au fait d’arrêter surtout d’utiliser des services états-uniens ou qui espionnent et revendent les données, c’est juste la base quoi !!

votre avatar

fuful a dit:


Pareil, reçu le même ce matin. […] du coup je suis allé me faire fouiller le fond du nom. […]


Hum…. j’espère que ce n’était pas trop douloureux.

votre avatar

(quote:1834407:Kazer2.0)
Utiliser bit.ly….



Autant Mme Michu va pas faire gaffe, autant les utilisateurs averties ne vont pas cliquer car généralement un lien bit.ly dans un SMS = scam.



regaber a dit:


Perso je reçois un SMS avec lien bit.ly c’est mise en spam et suppression direct…



fuful a dit:


Pareil, reçu le même ce matin. J’ai eu un doute quand j’ai vu bit.ly


Quand j’ai un doute sur un lien du genre, j’attends de pouvoir l’ouvrir sous Linux pour être tranquille. Ou sinon avec un “curl”, “wget” ou “lynx” on doit pouvoir récupérer le lien d’origine.




Jeanprofite a dit:


Fantastique la déchéance de la France : mise en place quasi systématique d’incompétents aux postes de direction.


Tu crois vraiment que c’est quelqu’un a un poste de direction qui a choisi d’utiliser bit.ly ?

votre avatar

OlivierJ a dit:


Tu crois vraiment que c’est quelqu’un a un poste de direction qui a choisi d’utiliser bit.ly ?


Ce quelqu’un à un poste de direction a choisi quelqu’un qui a choisi quelqu’un qui a choisi celui qui a choisi d’utiliser bit.ly.



Il est donc bien responsable ! :fumer:

votre avatar

OlivierJ a dit:



Tu crois vraiment que c’est quelqu’un a un poste de direction qui a choisi d’utiliser bit.ly ?


Tu crois vraiment que quelqu’un de compétent aurait permis que que l’on utilise bit.ly ?

votre avatar

fred42 a dit:


Ce quelqu’un à un poste de direction a choisi quelqu’un qui a choisi quelqu’un qui a choisi celui qui a choisi d’utiliser bit.ly.



Il est donc bien responsable ! :fumer:


Arf




Jeanprofite a dit:


Tu crois vraiment que quelqu’un de compétent aurait permis que que l’on utilise bit.ly ?


Tu devrais te renseigner sur ce que fait un directeur informatique comme travail précis, surtout dans une structure importante.
En revanche, le chef de projet ou architecte qui a validé de choix de bit.ly, c’est une autre question.

votre avatar

Tu devrais te renseigner sur l’appétence des incompétents à recruter des incompétents, le critère principal est avant tout d’avoir quelqu’un sachant se vendre (c’est à dire bien hypocrite et obéissant).
S’il ne pose pas de question c’est encore mieux. :8

Covid-19 et notification de contact par SMS, l’assurance maladie utilisait… bit.ly

Fermer