Publié dans Société numérique

29

Covid-19 et notification de contact par SMS, l’assurance maladie utilisait… bit.ly

Covid-19 et notification de contact par SMS, l'assurance maladie utilisait… bit.ly

Sur Twitter, plusieurs personnes notifiées font état d'un SMS comprenant un lien raccourci exploitant le service américain, qui peut ainsi avoir connaissance des personnes ayant cliqué. Il renvoie vers un document PDF du site Ameli.fr.

Un membre de l'équipe en charge de la sécurité au sein de l'assurance maladie répond que le problème a été identifié et remonté aux personnes en charge du projet, le raccourcisseur ayant été utilisé pour réduire la longueur du SMS. 

Un outil interne devrait bientôt être mis en place pour corriger le problème.

29

Tiens, en parlant de ça :

Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Ha… la bonne époque d’un CF de 4870 X2 !

18:10 Hard 8

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

Preprint not PR-print

17:31 IA 4
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

LoL Micro$oft

16:33 Soft 23
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 8

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 4
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 23
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 17
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 4

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 18
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 8
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 15

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 74

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 23
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 102
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Fairphone 5 démonté par iFixit

Sans surprise, le Fairphone 5 obtient 10/10 chez iFixit

Hard 6

WhatsApp vocaux à vue/écoute unique

WhatsApp permet d’envoyer des vocaux à écoute unique

Soft 10

Logo de Google sur un ordinateur portable

Google propose un correctif aux disparitions mystérieuses sur Drive

Soft 22

Puce AMD Instinct

IA : AMD annonce la disponibilité des accélérateurs Instinct MI300A et MI300X

Hard 0

Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Cloud : 1,2 milliard d’euros pour un Projet important d’intérêt européen commun

Web 12

Sonde OSIRIS-REx de la NASA lors du retour de la capsule des échantillons sur Terre

Échantillons d’OSIRIS-REx : la NASA a frôlé la catastrophe

Science 11

CPU AMD Ryzen avec NPU pour l’IA

Ryzen 8040 : AMD lance de nouveaux CPU mobiles (Zen 4, RDNA 3, NPU)

Hard 2

29

Commentaires (29)


Kazer2.0 Abonné
Le 02/11/2020 à 09h21

Utiliser bit.ly….



Autant Mme Michu va pas faire gaffe, autant les utilisateurs averties ne vont pas cliquer car généralement un lien bit.ly dans un SMS = scam.


ungars
Le 03/11/2020 à 09h45

ce matin, j’ai reçu une tentative de phising via ce site web, pour Orange…


Indigo74 Abonné
Le 03/11/2020 à 20h18

ungars

ce matin, j’ai reçu une tentative de phising via ce site web, pour Orange…

On a reçu le même alors! Mais il semble que ce soit, aussi, un message légitime car j’ai reçu le même message par email sur l’adresse que j’utilise pour mon abo Sosh / Orange…



Ils sont vraiment c….


ungars
Le 04/11/2020 à 09h12

Indigo74

On a reçu le même alors! Mais il semble que ce soit, aussi, un message légitime car j’ai reçu le même message par email sur l’adresse que j’utilise pour mon abo Sosh / Orange…

Ils sont vraiment c….

Non, c’était bien une tentative de fishing, car l’URL n’avait rien à voir avec celle d’Orange, et il s’agissait d’un soi-disant message téléphonique d’un appel que je n’ai pas eu…J’aurai du le préciser.


Indigo74 Abonné
Le 05/11/2020 à 14h53

ungars

Non, c’était bien une tentative de fishing, car l’URL n’avait rien à voir avec celle d’Orange, et il s’agissait d’un soi-disant message téléphonique d’un appel que je n’ai pas eu…J’aurai du le préciser.

Ah ok!



Perso j’ai bien le un SMS qui me disait qu’un message de la Directrice Générale Adjointe d’Orange était disponible… Avec un lien bit.ly…



J’ai pas cliqué, mais derrière j’ai reçu la même chose par mail…



Genre WTF!? Et puis pourquoi spécifiquement de la DG adjointe ?… :roll:


bilbonsacquet Abonné
Le 02/11/2020 à 09h24

Ah la la, et mon taf qui a bloqué l’accès à bit.ly pour des raisons de sécu :D


TeddyBeard Abonné
Le 02/11/2020 à 10h17

Ce n’est pas comme si YOURLS (logiciel Libre, développé par un compatriote Breton, sécurisé, facile à implémenter) n’existait pas …



Je l’utilise déjà sur 3 de mes domaines de redirections : go.gdeinfo.fr, gde.la et fkz.re et aucun depuis l’installation (4 ans, mises à jour régulières) n’a été piraté ou en panne …



Si vous ne connaissez pas, consultez le site : https://yourls.org/


regaber
Le 02/11/2020 à 10h50

Perso je reçois un SMS avec lien bit.ly c’est mise en spam et suppression direct…


Jeanprofite
Le 02/11/2020 à 11h40

Fantastique la déchéance de la France : mise en place quasi systématique d’incompétents aux postes de direction.
Je le constate tout les jours maintenant.



Beaucoup prévoient déjà une troisième vague après un déconfinement pour les fêtes de Noël.


Okki Abonné
Le 02/11/2020 à 11h49

En logiciel libre, il y a également LSTU, utilisé entre autre par huit.re 😁


Arkeen Abonné
Le 02/11/2020 à 11h49

Je confirme, j’ai reçu le SMS en question de matin :



« ALERTE ARS : Vous avez ete recemment en contact avec un cas COVID positif. Rappel des consignes en cliquant sur ce lien bit.ly/2HtiJ6n
Respect des gestes barrieres et isolement sont les meilleurs moyens de proteger les autres. Vous travaillez dans un etablissement de soins ou medico-social ? Contactez le service RH »



Le lien bit.ly renvoie ici : https://solidarites-sante.gouv.fr/IMG/pdf/fiche_personne_contact_12092020.pdf


fuful
Le 02/11/2020 à 12h02

Pareil, reçu le même ce matin. J’ai eu un doute quand j’ai vu bit.ly mais Comme je savais que j’allais recevoir un truc du genre car quelqu’un autour de moi est positif, j’ai hésité à cliquer. Et j’ai regardé sur internet, vu que j’étais pas le seul et que pourtant c’était officiel, du coup je suis allé me faire fouiller le fond du nom. Mais c’était très surprenant et je suis sûr qu’il y avait moyen de faire tout rentrer dans un sms en raccourcissant le nom du fichier pdf !


kissifrot Abonné
Le 02/11/2020 à 12h48

Au pire, r.gouv.fr/ ou quelque chose comme ça, ça se met en place rapidement et ça fait moins “peur”


Jarodd Abonné
Le 02/11/2020 à 13h04

Ils sont drogués aux services US…
Et maintenant, non sécurisés !


bad10
Le 02/11/2020 à 14h59

Jamais compris l’engouement pour les services de raccourci d’url …. :fou:


anonyme_f525e46a95b50f94ea596fa0bc1b20fd
Le 02/11/2020 à 16h57

kissifrot a dit:


Au pire, r.gouv.fr/ ou quelque chose comme ça, ça se met en place rapidement et ça fait moins “peur”




oui et s’il veulent encore raccourcir un peu il peuvent prendre gouv.fr/id (et en profité pour le mettre partout (site d’état) email du gouvernement, twitter), comme ca les gens s’habitueront a voir gouv.fr pour les communications publique et se méfieront d’un bit.ly).


Winderly Abonné
Le 02/11/2020 à 17h39

bad10 a dit:


Jamais compris l’engouement pour les services de raccourci d’url …. :fou:




Je suppose que les url longues ont le même effet sur certaines personnes que les url raccourcies ont sur moi.


fred42 Abonné
Le 02/11/2020 à 19h06

Utiliser un raccourcisseur d’url dans un SMS (140 caractères à la base), c’est compréhensible. Par contre, utiliser celui d’un GAFAM quand tu es l’Assurance Maladie, c’est :cartonrouge:


Winderly Abonné
Le 02/11/2020 à 19h20

fred42 a dit:


Utiliser un raccourcisseur d’url dans un SMS (140 caractères à la base), c’est compréhensible. Par contre, utiliser celui d’un GAFAM quand tu es l’Assurance Maladie, c’est :cartonrouge:




Boarf, qui n’a pas encore un forfait à sms illimités ?


fred42 Abonné
Le 02/11/2020 à 19h25

L’Assurance Maladie doit payer ses SMS. Si elle double le nombre pour envoyer une URL longue, elle double sa facture.


giliodi42
Le 02/11/2020 à 19h32

(reply:1834705:Winderly)lol



Guinnness
Le 02/11/2020 à 20h27

La semaine dernière j’ai été notifié en direct par téléphone par l’hôpital où un collègue avait été admis suite à ses symptômes, par contre je n’ai jamais reçu le moindre sms malgré que j’ai été cas contact confirmé.
Cela dit si j’avais reçu un lien avec le raccourciseur d’url favoris des scamers et des sites pirates jamais je n’aurais cliqué dessus :reflechis: :transpi:


TroudhuK Abonné
Le 02/11/2020 à 22h58

fred42 a dit:


Utiliser un raccourcisseur d’url dans un SMS (140 caractères à la base), c’est compréhensible. Par contre, utiliser celui d’un GAFAM quand tu es l’Assurance Maladie, c’est :cartonrouge:




Alors non c’est pas un GAFAM (autrement dit, bit.ly n’appartient pas à Google, Amazon, Facebook, Apple, ou Microsoft). Par contre c’est une bonne grosse entreprise qui fait de la thune en analysant l’utilisation de ses liens.



C’est incroyable, et je vois autour de moi, que les informaticiens ne soient pas du tout sensibilisés à la guerre économique, la confidentialité, à Snowden, bref au fait d’arrêter surtout d’utiliser des services états-uniens ou qui espionnent et revendent les données, c’est juste la base quoi !!


DanLo Abonné
Le 03/11/2020 à 08h51

fuful a dit:


Pareil, reçu le même ce matin. […] du coup je suis allé me faire fouiller le fond du nom. […]




Hum…. j’espère que ce n’était pas trop douloureux.


OlivierJ Abonné
Le 03/11/2020 à 15h05

(quote:1834407:Kazer2.0)
Utiliser bit.ly….



Autant Mme Michu va pas faire gaffe, autant les utilisateurs averties ne vont pas cliquer car généralement un lien bit.ly dans un SMS = scam.



regaber a dit:


Perso je reçois un SMS avec lien bit.ly c’est mise en spam et suppression direct…



fuful a dit:


Pareil, reçu le même ce matin. J’ai eu un doute quand j’ai vu bit.ly




Quand j’ai un doute sur un lien du genre, j’attends de pouvoir l’ouvrir sous Linux pour être tranquille. Ou sinon avec un “curl”, “wget” ou “lynx” on doit pouvoir récupérer le lien d’origine.




Jeanprofite a dit:


Fantastique la déchéance de la France : mise en place quasi systématique d’incompétents aux postes de direction.




Tu crois vraiment que c’est quelqu’un a un poste de direction qui a choisi d’utiliser bit.ly ?


fred42 Abonné
Le 03/11/2020 à 15h19

OlivierJ a dit:


Tu crois vraiment que c’est quelqu’un a un poste de direction qui a choisi d’utiliser bit.ly ?




Ce quelqu’un à un poste de direction a choisi quelqu’un qui a choisi quelqu’un qui a choisi celui qui a choisi d’utiliser bit.ly.



Il est donc bien responsable ! :fumer:


Jeanprofite
Le 03/11/2020 à 15h30

OlivierJ a dit:



Tu crois vraiment que c’est quelqu’un a un poste de direction qui a choisi d’utiliser bit.ly ?




Tu crois vraiment que quelqu’un de compétent aurait permis que que l’on utilise bit.ly ?


OlivierJ Abonné
Le 03/11/2020 à 15h37

fred42 a dit:


Ce quelqu’un à un poste de direction a choisi quelqu’un qui a choisi quelqu’un qui a choisi celui qui a choisi d’utiliser bit.ly.



Il est donc bien responsable ! :fumer:




Arf




Jeanprofite a dit:


Tu crois vraiment que quelqu’un de compétent aurait permis que que l’on utilise bit.ly ?




Tu devrais te renseigner sur ce que fait un directeur informatique comme travail précis, surtout dans une structure importante.
En revanche, le chef de projet ou architecte qui a validé de choix de bit.ly, c’est une autre question.


Jeanprofite
Le 03/11/2020 à 15h54

Tu devrais te renseigner sur l’appétence des incompétents à recruter des incompétents, le critère principal est avant tout d’avoir quelqu’un sachant se vendre (c’est à dire bien hypocrite et obéissant).
S’il ne pose pas de question c’est encore mieux. :8