Sur Twitter, plusieurs personnes notifiées font état d'un SMS comprenant un lien raccourci exploitant le service américain, qui peut ainsi avoir connaissance des personnes ayant cliqué. Il renvoie vers un document PDF du site Ameli.fr.
Un membre de l'équipe en charge de la sécurité au sein de l'assurance maladie répond que le problème a été identifié et remonté aux personnes en charge du projet, le raccourcisseur ayant été utilisé pour réduire la longueur du SMS.
Un outil interne devrait bientôt être mis en place pour corriger le problème.
Commentaires (29)
#1
Utiliser bit.ly….
Autant Mme Michu va pas faire gaffe, autant les utilisateurs averties ne vont pas cliquer car généralement un lien bit.ly dans un SMS = scam.
#1.1
ce matin, j’ai reçu une tentative de phising via ce site web, pour Orange…
#1.2
On a reçu le même alors! Mais il semble que ce soit, aussi, un message légitime car j’ai reçu le même message par email sur l’adresse que j’utilise pour mon abo Sosh / Orange…
Ils sont vraiment c….
#1.3
Non, c’était bien une tentative de fishing, car l’URL n’avait rien à voir avec celle d’Orange, et il s’agissait d’un soi-disant message téléphonique d’un appel que je n’ai pas eu…J’aurai du le préciser.
#1.4
Ah ok!
Perso j’ai bien le un SMS qui me disait qu’un message de la Directrice Générale Adjointe d’Orange était disponible… Avec un lien bit.ly…
J’ai pas cliqué, mais derrière j’ai reçu la même chose par mail…
Genre WTF!? Et puis pourquoi spécifiquement de la DG adjointe ?…
#2
Ah la la, et mon taf qui a bloqué l’accès à bit.ly pour des raisons de sécu
#3
Ce n’est pas comme si YOURLS (logiciel Libre, développé par un compatriote Breton, sécurisé, facile à implémenter) n’existait pas …
Je l’utilise déjà sur 3 de mes domaines de redirections : go.gdeinfo.fr, gde.la et fkz.re et aucun depuis l’installation (4 ans, mises à jour régulières) n’a été piraté ou en panne …
Si vous ne connaissez pas, consultez le site : https://yourls.org/
#4
Perso je reçois un SMS avec lien bit.ly c’est mise en spam et suppression direct…
#5
Fantastique la déchéance de la France : mise en place quasi systématique d’incompétents aux postes de direction.
Je le constate tout les jours maintenant.
Beaucoup prévoient déjà une troisième vague après un déconfinement pour les fêtes de Noël.
#6
En logiciel libre, il y a également LSTU, utilisé entre autre par huit.re 😁
#7
Je confirme, j’ai reçu le SMS en question de matin :
« ALERTE ARS : Vous avez ete recemment en contact avec un cas COVID positif. Rappel des consignes en cliquant sur ce lien bit.ly/2HtiJ6n
Respect des gestes barrieres et isolement sont les meilleurs moyens de proteger les autres. Vous travaillez dans un etablissement de soins ou medico-social ? Contactez le service RH »
Le lien bit.ly renvoie ici : https://solidarites-sante.gouv.fr/IMG/pdf/fiche_personne_contact_12092020.pdf
#8
Pareil, reçu le même ce matin. J’ai eu un doute quand j’ai vu bit.ly mais Comme je savais que j’allais recevoir un truc du genre car quelqu’un autour de moi est positif, j’ai hésité à cliquer. Et j’ai regardé sur internet, vu que j’étais pas le seul et que pourtant c’était officiel, du coup je suis allé me faire fouiller le fond du nom. Mais c’était très surprenant et je suis sûr qu’il y avait moyen de faire tout rentrer dans un sms en raccourcissant le nom du fichier pdf !
#9
Au pire, r.gouv.fr/ ou quelque chose comme ça, ça se met en place rapidement et ça fait moins “peur”
#10
Ils sont drogués aux services US…
Et maintenant, non sécurisés !
#11
Jamais compris l’engouement pour les services de raccourci d’url ….
#12
oui et s’il veulent encore raccourcir un peu il peuvent prendre gouv.fr/id (et en profité pour le mettre partout (site d’état) email du gouvernement, twitter), comme ca les gens s’habitueront a voir gouv.fr pour les communications publique et se méfieront d’un bit.ly).
#13
Je suppose que les url longues ont le même effet sur certaines personnes que les url raccourcies ont sur moi.
#13.1
Utiliser un raccourcisseur d’url dans un SMS (140 caractères à la base), c’est compréhensible. Par contre, utiliser celui d’un GAFAM quand tu es l’Assurance Maladie, c’est
#14
Boarf, qui n’a pas encore un forfait à sms illimités ?
#14.1
L’Assurance Maladie doit payer ses SMS. Si elle double le nombre pour envoyer une URL longue, elle double sa facture.
#15
#16
La semaine dernière j’ai été notifié en direct par téléphone par l’hôpital où un collègue avait été admis suite à ses symptômes, par contre je n’ai jamais reçu le moindre sms malgré que j’ai été cas contact confirmé.
Cela dit si j’avais reçu un lien avec le raccourciseur d’url favoris des scamers et des sites pirates jamais je n’aurais cliqué dessus
#17
Alors non c’est pas un GAFAM (autrement dit, bit.ly n’appartient pas à Google, Amazon, Facebook, Apple, ou Microsoft). Par contre c’est une bonne grosse entreprise qui fait de la thune en analysant l’utilisation de ses liens.
C’est incroyable, et je vois autour de moi, que les informaticiens ne soient pas du tout sensibilisés à la guerre économique, la confidentialité, à Snowden, bref au fait d’arrêter surtout d’utiliser des services états-uniens ou qui espionnent et revendent les données, c’est juste la base quoi !!
#18
Hum…. j’espère que ce n’était pas trop douloureux.
#19
Quand j’ai un doute sur un lien du genre, j’attends de pouvoir l’ouvrir sous Linux pour être tranquille. Ou sinon avec un “curl”, “wget” ou “lynx” on doit pouvoir récupérer le lien d’origine.
Tu crois vraiment que c’est quelqu’un a un poste de direction qui a choisi d’utiliser bit.ly ?
#20
Ce quelqu’un à un poste de direction a choisi quelqu’un qui a choisi quelqu’un qui a choisi celui qui a choisi d’utiliser bit.ly.
Il est donc bien responsable !
#21
Tu crois vraiment que quelqu’un de compétent aurait permis que que l’on utilise bit.ly ?
#22
Arf
Tu devrais te renseigner sur ce que fait un directeur informatique comme travail précis, surtout dans une structure importante.
En revanche, le chef de projet ou architecte qui a validé de choix de bit.ly, c’est une autre question.
#22.1
Tu devrais te renseigner sur l’appétence des incompétents à recruter des incompétents, le critère principal est avant tout d’avoir quelqu’un sachant se vendre (c’est à dire bien hypocrite et obéissant).
S’il ne pose pas de question c’est encore mieux.