Alors qu'un fichier détenant les données de 500 000 patients est en circulation, sans que les personnes concernées n'en aient été informées jusque-là, nombreux sont ceux qui se demandent comment savoir s'ils font partie de la liste.
Il faut tout d'abord se méfier des sites vous proposant de le vérifier et ne surtout pas leur livrer d'informations personnelles. S'il s'agit parfois de sites cherchant simplement à attirer des internautes pour gagner des affichages publicitaires, ils peuvent aussi avoir un but malveillant.
De plus, ce fichier ayant été obtenu illégalement, sa diffusion ou l'utilisation de ses données peut poser des problèmes juridiques. La CNIL a donc décidé de faire le point pour informer les internautes de leurs recours.
La Commission rappelle que « si cette violation vous concerne, l’organisme responsable doit vous en informer dans les meilleurs délais ». Cela devrait d'ailleurs bientôt être le cas dans l'affaire du fichier des 500 000 patients, comme nous l'avions évoqué.
Si « la CNIL n’est pas en mesure de vous informer de la présence de vos données dans ce fichier », elle précise que « tous les laboratoires [...] ont indiqué qu’ils allaient informer les personnes concernées. La CNIL s’assurera que ce soit fait dans les plus brefs délais ».
Elle invite ensuite les personnes concernées à changer leur mot de passe. Si vous pensez avoir été victime d'une usurpation d'identité, elle précise qu'il faut vous rendre sur le site officiel Cybermalveillance et déposer plainte.
Commentaires (24)
#1
Faisant partit de la zone géographique concernée par cette fuite, je me suis fié au site : https://fuitededonneesdesante.acceis.fr/, relayé par 20minutes.fr : https://www.20minutes.fr/societe/2985875-20210225-fuite-donnees-medicales-site-mis-ligne-savoir-si-concernes
Site que j’attendais de pied ferme et je suis déçu que ce ne soit pas une haute autorité qui l’ait fait.
C’est sur qu’il faut être prudent pour ce genre de site de tests, mais depuis que la fuite a été annoncée, est-ce beaucoup de personnes ont vraiment été contactées par les laboratoires ?
Après le test sur le premier site, je ne serais pas concernée. Ouf ! Mais après, si je l’avais été, à part être plus vigilant concernant les appels, les SMS ou courriel, il n’y a pas beaucoup d’autres possibilités.
Mais cela concerne beaucoup de personnes, qui elles, peuvent être moins vigilantes :/
Et quand je vois ça : https://www.zataz.com/pirater-3d-secure-2fa/, je pense que l’on peut presque tous se faire avoir :s
#1.1
Ce site là est relativement safe : tu peux faire un curl POST avec
--data-raw "SSN=le SHA256 calculé toi-même"et il retourne OK/KO selon si tu es dedans ou pas. Et comme ça tu es sûr qu’il y a rien d’autre que le SHA256.Donc au pire ça leur donne un hash qu’ils ont déjà et ton IP (ben ouais…). Et ça permet d’avoir l’info.
Maintenant à voir si c’est vraiment safe ou pas, mais perso ça me choque pas.
#1.2
Tout à fait, c’est bien pour ça que je l’ai utilisé, mais il n’a pas été mis en avant sur NextINpact, ni pas la CNIL par exemple.
C’est dommage que ce ne soit justement pas eux (la CNIL), en tant que garant, qui aurait pu mettre un site afin de vérifier si tu fais partit de la fuite ou non.
L’idée du hash est d’ailleurs une excellent idée et montre qu’il est possible de ne garder qu’une partie de l’info de façon sécurisé afin de comparer.
#1.3
Le SHA256 d’un SSN ça se casse en quelques secondes…
#1.4
Oui enfin, si tu vas par là, tu peux générer des millions de n° de sécu très probablement existants facilement déjà. Sachant que si le SHA256 est pas déjà dans leur base, alors ils savent pas s’il correspond bien à un SSN valide (je leur ai envoyé celui de « lol » par exemple, sans parler des fautes de frappe etc…). Et sauf à tous les bruteforce (parce qu’il y a pas d’autre moyen de reverse un hash que le brute force), ça n’apporte que dalle. Surtout que c’est la seule info qu’ils récupère si tu es pas déjà dans la base.
#1.5
Justement, avec son format très spécifique, les SSN ça se bruteforce très rapidement. Il y a relativement peu de possibilités. Le premier chiffre c’est soit 1, soit 2 par exemple. Tu peux calculer le SHA256 de tous les SSN possibles en quelques secondes avec un CPU grand public, et ainsi avoir une rainbow table.
#1.6
Tout à fait. Mais du coup un site qui récupère que des SSN sans autre info ne sert à rien. Vu que tu peux déjà les générer… l’intérêt c’est de recouper avec autre choses, mais vu qu’ils ont déjà le fichier qui contient ces autres choses je vois pas l’intérêt lol.
#2
Pour faire ce genre de vérif, honnêtement rien de mieux que de vérifier à la source. Ca pose un problème légal mais au moins on est sûr de la fiabilité des infos et de pas balancer ses données personnelles à un tiers…
Parcontre pour les personnes concernées, il doit y avoir moyen de faire une action collective…
#3
Pourquoi on donnerait le code de double authentification à son banquier ? Parce qu’au final ça repose uniquement sur ça, on spoof le numéro de la banque pour paraître crédible mais pourquoi on aurait un appel de la banque qui nous demande le code de double authentification ?
#4
Il peut être facile de tomber dans le panneau pour beaucoup.
Pour le spoofing de numéro, ça rajoute de la crédibilité à l’appel. J’ai le numéro de ma banque dans mes contacts, il est donc facile de le voir apparaitre comme étant le numéro légitime. La technique est rodée.
Par contre, ce que je ne comprend pas trop, dans le cas d’un SMS pour un paiement, il peut y avoir une sommes et le site concerné, donc là, c’est peut être aussi un point important qui peut faire capoter la transaction (en plus de ce que tu énonces).
#4.1
Bonjour, j’ai lu le lien et je suis impressionné par une chose : le pirate arrive à faire apparaître son numéro comme étant le même que celui de la banque. Parti de là, je comprends tout à fait qu’il devient très probable de piquer les infos aux victimes.
Cependant, y a quelques points que j’ai pas très bien saisi… Si j’ai bien compris :
Merci pour vos retours.
#5
Ouais. Dans tous les cas les banques ont beau dire de ne jamais fournir à qui que ce soit ces codes ça arrivera toujours.
#6
Cette belle non réponse.
Finalement, on ignore encore comment savoir.
#7
C’est la manière la plus sûre en effet, car les numéros de téléphone et adresse mails de contact peuvent évoluer.
Cependant, ce n’est pas envisageable car cela impliquerai que tu aie accès à des données sensibles.
#7.1
Des données qui sont déjà publiques alors bon…
Une recherche Google avec les bons mots clés et tu tombes dessus…
#8
Devoir faire confiance à une boîte qui a trahi la confiance de ses clients depuis des années pour savoir si on est iNpacté, c’est moyen.
Je comprends bien le problème légal derrière ça, mais j’espère que ça donnera à certains des idées pour améliorer les choses pour la prochaine fuite. (La sécu n’a pas les mails de ses clients ? Une administration quelconque ne pourrait pas proposer de tester son numéro de sécu après authentification via franceconnect/whatever en limitant le nombre d’interrogations de la base à 3 numéros de sécu par personne et en loguant tout, pratique pour vérifier papy/mamie/autre)
#9
Deux trames de chiffres pour illustrer l’incompétence et le marasme collectif en matière de protection des données de santé des français :
Et encore ce jour (enfin hier), l’instance la plus haute en matière de protection des données à caractère personnel, nous dit juste : tout va bien on a eu les remontées des labos incriminés … sans aucun information si ce 1⁄2 million est l’épaisseur du trait ou la totalité des données ayant fuitée.
Le pire dans tout cela, reste qu’il faille plus attendre d’experts ou de sociétés spécialisées en Cyber que de l’Etat et de ses organismes, pour mettre à disposition (non sans risque) des outils pour permettre aux victimes de s’identifier !?!
Encore pire, aucune garantie ne sera établie ou communiquée permettant d’attester que les notifications émanant des labos (si elles parviennent toutes selon l’adresse postale détenue par le labo) couvriront l’ensemble des 491 840.
Quand aux sanctions, attendons encore avant de rire jaune sans doute en découvrant l’attribution des responsabilités de ce fiasco.
#9.1
La France quoi…
#10
C’est sûr on va déposer plainte…
Sans rire…
#11
Si Amazon vous propose des cercueils en promo, ca compte ?
#12
tiens sur ce post, le site d’acceis ne se fait pas sworder contrairement à la la news https://www.nextinpact.com/article/46256/ce-que-revele-fichier-500-000-patients-qui-a-fuite#comment/1856954
#13
Ah mince :/
#14
Juste une question naïve : comment il est possible d’appeler un particulier avec un numéro, et de faire afficher un numéro qui n’a rien à avoir avec le premier ? Vous me direz que quand une entreprise appelle, c’est le numéro principal qui peut s’afficher pas le numéro du poste interne (qui lui a un vrai numéro car on peut l’appeler directement de l’extérieur). Mais il y a un lien fort entres les numéros d’une entreprise : c’est le même client. Là on a un escroc qui se fait passer pour une banque : c’est donc si peu sécurisé que cela, la possibilité de faire un afficher un numéro si différent de celui de l’appelant ? Même préoccupation pour les appels venant de l’étranger, mais là c’est une autre paire de manches…
#14.1
Sans entrer dans des détails hyper pointus que je ne maitrise pas, le principe c’est que dans l’absolu certaines données d’adressage peuvent être spoofées (tout simplement parce que c’est l’émetteur qui les envoie), sans que ça empêche l’appel de fonctionner
Et en général, de telles pratiques ne sont pas le fait de clients d’opérateurs français ayant pignon sur rue (ce serait alors facile de remonter à l’escroc), mais il y a aussi des transitaires, des “opérateurs” peu scrupuleux (généralement à l’étranger) qui font justement leur business en fermant les yeux sur certaines pratiques de leurs clients
Et à supposer que techniquement il soit possible de bloquer certaines pratiques comme le spoofing (ce qui n’est déjà pas simple du tout), les acteurs peu scrupuleux trouvent encore des alliés du côté des régulateurs divers et variés, sur le principe que ce serait anti-concurrentiel de bloquer les “opérateurs” peu scrupuleux… (je grossis à peine le trait)