Publié dans Internet

55

La méga-fuite de données de santé émanerait d’un logiciel racheté par… Dedalus

La méga-fuite de données de santé émanerait d'un logiciel racheté par... Dedalus

CheckNews a pu authentifier et retracer l'origine des données des 500 000 patients français disponibles gratuitement sur le darknet. Elles émanent de laboratoires de biologie médicale ayant pour point commun d'avoir utilisé un logiciel baptisé Mega-Bus, désormais obsolète mais commercialisé depuis 2009 par la société Medasys, filiale de Dedalus France.

L’an passé, nous avions révélé que ce « leader européen en matière de solutions logicielles de Santé » avait licencié, pour « fautes graves », un lanceur d'alerte qui avait prévenu les autorités sur ses problèmes de sécurité, et découvert que « n'importe qui pouvait accéder à l'extranet, depuis le web. Ce qui permettait notamment d'accéder aux tickets ouverts par les hôpitaux et laboratoires clients ».

Les données auraient été volées, entre 2015 et 2020, dans une trentaine de laboratoires d'analyse médicale du Morbihan, de l’Eure, du Loiret, des Côtes-d’Armor et dans une moindre mesure du Loir-et-Cher. 

Contactés, les labos sont unanimes : personne, du côté des autorités, ne les a mis au courant de cette fuite massive de données sensibles concernant leurs patients.

Dedalus France reconnaît la piste plausible : « Mega-Bus est une vieille solution. Si des clients l’utilisent toujours, ce doit être les derniers parce qu’elle n’est plus vendue ou maintenue. La plupart des clients de ce système sont en train de migrer ou ont déjà migré. »

Non content de contenir, dans la partie « Commentaires », des données médicales ultrasensibles (grossesse, traitements médicamenteux, pathologies voire séropositivité du patient), les données n'étaient pas chiffrées, au mépris des pratiques élémentaires de cybersécurité.

L'an passé, Dedalus n'avait pas daigné répondre à nos questions portant notamment sur l'absence de responsable de la sécurité des systèmes d’information (RSSI) dans l'entreprise, préférant botter en touche, et nous accuser de « chercher à ternir l'image » du groupe.

Contactés par CheckNews, d’anciens salariés de Dedalus dénoncent encore et toujours une politique de sécurité informatique jugée trop « légère », citant des systèmes « obsolètes », comme celui de Mega-Bus, ou qui ont tardé à être mis à jour. Et toujours pas de nouvelles du RSSI.

55

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

662e édition des LIDD : Liens Intelligents Du Dimanche

Du X11 à la sauce Windows 3, rêve ou cauchemar ?

00:00 Next 6
dessin satirique de Flock

#Flock plaque des claques sans talc

Envie de réconfort et de croire en l’avenir ?

13:37 Flock 17
Des personnages effondrés : WTF ?!

Les campagnes anti-piratage incitent les hommes à pirater davantage

Pire to pire

16:48 ÉcoSociété 33
next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

55

Commentaires (55)


Patch Abonné
Le 24/02/2021 à 09h 04

Donc en gros, Dedalus accuse les autres d’être des vilains méchants qui ne cherchent qu’à les couler, mais en même temps ne font pas grand chose concernant la sécurité des données sur les logiciels qu’ils vendent et surtout ne parlent jamais des problèmes, et surtout pas aux clients concernés quand il y en a.
Je ne sais pas pquoi, j’ai l’impression que si des clients apprennent ca, ils chercheront à vite partir ailleurs…


anagrys Abonné
Le 24/02/2021 à 10h 17

pour les clients, ça dépend : si la boîte est seule sur ce marché les clients peuvent faire ce qu’ils veulent, ils n’iront pas ailleurs parce qu’ils sont liés. Alternativement, pour les clients utilisant déjà leurs systèmes, ça doit être assez compliqué de migrer (à part éventuellement en cherchant les données à migrer sur une BDD du dark web :D ), en plus de la conduite du changement à mener côté utilisateurs…



Je ne connais pas du tout le domaine, mais le comportement de la boîte fait penser qu’ils ne doivent pas avoir beaucoup de concurrence. Sinon ils devraient tomber très très vite.


Arcy Abonné
Le 24/02/2021 à 09h 07

J’ai bien des idées de commentaires face à ce genre de méconnaissance mais rien de légal …


Magyar Abonné
Le 24/02/2021 à 09h 30

Y’a moyens de savoir si on est concerné par la fuite de donnée (sans avoir à télécharger la BDD) ?


Soriatane Abonné
Le 24/02/2021 à 09h 31

À défaut de RSSI, ils ont quelqu’un pour la gestion de crises et un cabinet d’avocats??


Rhebian Abonné
Le 24/02/2021 à 09h 37

Magyar a dit:


Y’a moyens de savoir si on est concerné par la fuite de donnée (sans avoir à télécharger la BDD) ?




Il est impératif que les autorités préviennent les patients concernés…. Mais ce ne sera hélas jamais le cas…


Rowin Abonné
Le 24/02/2021 à 15h 31

C’est au responsable de traitement d’avertir les personnes concernées de l’existence d’une violation. Et vu l’ampleur de la catastrophe, je suis à peu près certain que la CNIL va leur coller au train pour s’assurer que ça soit fait.


eres Abonné
Le 24/02/2021 à 09h 37

Allez, 100 € d’amende par compte divulgué (et c’est pas cher payé)… ca devrait les faire réagir très rapidement et investir pour un vrai RSSI




  • un petite poursuite de la part du lanceur d’alerte
    => ca bousculerait un peu ces éditeurs (pas que dans le medic…)


Le 24/02/2021 à 09h 38

c’est les assurances qui vont être content encore une fois.
Ils vont pouvoir mettre dans le rouge les personnes qu’ils estiment potentiellement à “danger” pour des prêts d’achat immobilier et donc mettre des taux explosifs.


Le 24/02/2021 à 09h 40

c’est ce que j’appel des e , franchement faut pas avoir d’étique ni meme de respect pour sortir des réponses comme sa, les gas savent qu’il n’ont pas le cul propre mais essaient de se dédouaner, qu’ils coulent et qu’il prennent un max dans leur geule !


Manozco Abonné
Le 24/02/2021 à 09h 41

Magyar a dit:


Y’a moyens de savoir si on est concerné par la fuite de donnée (sans avoir à télécharger la BDD) ?




Pareil, je suis concerne particulierement par les Cotes d’Armor (Ma famille egalement)


Le 24/02/2021 à 22h 31

Dans le même cas pour moi dans le Morbihan, je suis très inquiet du contenu precis des données qui ont fuité.


Le 24/02/2021 à 09h 43

Quelle bande de cons.



Vire un lanceur d’alerte, né répond pas aux journalistes ou seulement pour dire “vous allez ternir notre image”, rejette la faute sur les clients (solution plus maintenu zavez qu’a upgrader), pas de RSSI (mais quelle inconscience !).



J’espère qu’ils vont payer.


Trit’ Abonné
Le 24/02/2021 à 10h 11

kj a dit:


Quelle bande de cons.



Vire un lanceur d’alerte, né répond pas aux journalistes ou seulement pour dire “vous allez ternir notre image”, rejette la faute sur les clients (solution plus maintenu zavez qu’a upgrader), pas de RSSI (mais quelle inconscience !).



J’espère qu’ils vont payer.




Comme on dit depuis environ 5 ans : cheh* !



* D’après ce que j’ai compris, ça veut dire « bien fait pour eux ! ». Mais c’est toujours regrettable pour les vraies victimes de ce piratage : les patients dont les dossiers ont été piratés…


Le 24/02/2021 à 10h 27

Patch a dit:


Donc en gros, Dedalus accuse les autres d’être des vilains méchants qui ne cherchent qu’à les couler, mais en même temps ne font pas grand chose concernant la sécurité des données sur les logiciels qu’ils vendent et surtout ne parlent jamais des problèmes, et surtout pas aux clients concernés quand il y en a. Je ne sais pas pquoi, j’ai l’impression que si des clients apprennent ca, ils chercheront à vite partir ailleurs…




Encore faut-il pouvoir le faire car il faut d’une part des solutions concurrentes existantes, d’autre part une possibilité de récupération des données existantes.



Pas simple du tout.


Le 24/02/2021 à 10h 31

En l’absence de RSSI, est-ce que le patron lui-même devra venir s’expliquer en cas de procès ? Cela permettrait peut-être une restructuration de l’entreprise, avec un nouveau directeur pour assainir ces pratiques.


fry Abonné
Le 24/02/2021 à 12h 33

faut croiser les doigts qu’un gus avec les dents un peu trop longues et “un peu naif” se fasse pas catapulter pdg-fusible au bon/mauvais moment pendant que les vraies enflures se planquent à des postes plus discrets pour continuer comme si de rien n’était après


Le 25/02/2021 à 21h 39

fry

faut croiser les doigts qu’un gus avec les dents un peu trop longues et “un peu naif” se fasse pas catapulter pdg-fusible au bon/mauvais moment pendant que les vraies enflures se planquent à des postes plus discrets pour continuer comme si de rien n’était après


C’est pas prêt d’arriver. Ils convoqueront les décisionnaires de l’époque si besoin.


David.C Abonné
Le 24/02/2021 à 12h 28

J’ai pas tout compris. C’est Dedalus qui héberge ou le client ? Du coup, si c’est Dedalus ok,pas top. Mais si Dedalus ne maintient plus le produit, et a avertit duement les clients, en quoi ce serait ça faute?


jotak Abonné
Le 24/02/2021 à 15h 31

Il serait aussi question de migrations entre l’ancien et le nouveau systèmes (tous deux de Dedalus), effectuées par Dedalus, qui pourraient être à l’origine de cette fuite (d’après l’article de libé)


David.C Abonné
Le 26/02/2021 à 12h 29

jotak

Il serait aussi question de migrations entre l’ancien et le nouveau systèmes (tous deux de Dedalus), effectuées par Dedalus, qui pourraient être à l’origine de cette fuite (d’après l’article de libé)


Merci


Inny Abonné
Le 24/02/2021 à 12h 37

La CNIL réagit à la large fuite de données de santé relative à près de 500.000 patients, en rappelant que les organismes responsables ont l’obligation d’informer individuellement les personnes concernées


Le 24/02/2021 à 12h 44

(quote:1856315:David.C)
J’ai pas tout compris. C’est Dedalus qui héberge ou le client ? Du coup, si c’est Dedalus ok,pas top. Mais si Dedalus ne maintient plus le produit, et a avertit duement les clients, en quoi ce serait ça faute?




La communication de Dedalus n’est pas claire, mais de toute façon en lisant ceci :«Non content de contenir, dans la partie « Commentaires », des données médicales ultrasensibles (grossesse, traitements médicamenteux, pathologies voire séropositivité du patient), les données n’étaient pas chiffrées, au mépris des pratiques de base en termes de cybersécurité, a fortiori portant sur de telles données sensibles de santé
Il n’est pas possible de les exonérer de responsabilité.


David.C Abonné
Le 24/02/2021 à 13h 07

Je conçois que cette partie de la fiche pacient ne devrait pas être en clair


NiCr Abonné
Le 24/02/2021 à 15h 20

En fait il faut savoir que la certification HDS ne précise rien concernant le stockage chiffré des données.
Le chiffrement concerne uniquement le transfert de données via un canal public (internet).
https://esante.gouv.fr/sites/default/files/media_entity/documents/hds_referentiel_de_certification_v1.1f_mai2018.pdf


Le 24/02/2021 à 13h 26

Comme je disais précédemment, tant qu’on aura pas de vraies punitions (AKA prison FERME) pour les responsables (DSI/PDG au moins), ce genre de problèmes continuera…
Le baton, toujours le bâton, le pognon ils l’ont donc les amendes ils s’en carrent


Le 24/02/2021 à 15h 26

Règlementations précises, amendes sévères et appliqués et prison ferme pour les auteurs d’infractions graves, ça marchera aussi bien pour la conformité et la sécurité que pour la lutte contre la fraude fiscale et d’autres graves infractions dont certaines entreprises ont fait leur modèle.



Proposer les mêmes peines aux avocats et autres conseils recommandant d’outrepasser la loi serait également efficace.


Le 24/02/2021 à 13h 27

Et toujours pas de nouvelles du RSSI.




Mais en on-t-il ne serait-ce qu’un ?


wanou2 Abonné
Le 24/02/2021 à 14h 06

Toujours le même problème… on s’inquiète de la fuite de données (et c’est important) de la sécurisation mais personne ne s’inquiète du pourquoi du stockage de ces données ? Pourquoi les laboratoires conservent autant de données sur des périodes aussi longues ?


Soriatane Abonné
Le 24/02/2021 à 15h 03

Car les patients sont en vie et reviennent aux laboratoires d’analyses pour de nouveaux examens??



Sauf erreur, dans la loi la conservation des données médicales c’est de 10 à 50 ans après la mort du patient.


Le 24/02/2021 à 15h 05

Soriatane

Car les patients sont en vie et reviennent aux laboratoires d’analyses pour de nouveaux examens??



Sauf erreur, dans la loi la conservation des données médicales c’est de 10 à 50 ans après la mort du patient.


C’est le probleme alors… Faut achever les patients pour eviter les fuites de données :D


Le 24/02/2021 à 15h 30

Altair31 a dit:


Mais en on-t-il ne serait-ce qu’un ?




RSSI : Responsable Sécurité Système Information. Dans leur cas, c’est simplement SI, il n’y a ni Responsable, ni Sécurité :D


jotak Abonné
Le 24/02/2021 à 15h 36

Malheureusement le fait que la sécurité soit prise à la légère par des responsables peu scrupuleux, même si ça me fout hors de moi ça ne me surprend pas.



Ce qu’il faut voir c’est comment l’État / l’ANSSI / la CNIL pourrait empêcher ça. Aujourd’hui j’ai pas l’impression qu’ils aient assez de pouvoir ou de volonté pour empêcher ça. Ils paraissent bien peu souvent menaçants contre les mauvais élèves.


wanou2 Abonné
Le 24/02/2021 à 15h 49

Soriatane a dit:


Car les patients sont en vie et reviennent aux laboratoires d’analyses pour de nouveaux examens??



Sauf erreur, dans la loi la conservation des données médicales c’est de 10 à 50 ans après la mort du patient.




Tu parles des dossiers médicaux. Là ce sont des données d’analyses et des données qualitatives qui concernent les patients d’un laboratoire d’analyse. Je ne vois pas en quoi ils devraient les conserver sur des longues périodes alors que ces données ont été transmises aux médecins prescripteurs et aux patients.


Soriatane Abonné
Le 24/02/2021 à 17h 06

Car les patients changent de médecins ou perdent leur résultats??



La question combien de temps une informations médicales est pertinentes? Je suppose que cela dépend du type d’information.



Le commentaire précédent dit que le CSP impose 10 ans.


wanou2 Abonné
Le 24/02/2021 à 18h 54

Soriatane

Car les patients changent de médecins ou perdent leur résultats??



La question combien de temps une informations médicales est pertinentes? Je suppose que cela dépend du type d’information.



Le commentaire précédent dit que le CSP impose 10 ans.


Quand tu changes de médecin il te file les informations nécessaires pour ton prochain médecin avec les données importantes. Si la pathologie nécessite un suivi sur dix ans il y a même des chances que tu repartes avec un dossier sous le bras comme ça m’est arrivé.



Et puis si tu changes de médecin sans te préoccuper du suivi de tes données je me demande si tu vas te rappeler des laboratoires qui auront fait tes analyses.


Soriatane Abonné
Le 24/02/2021 à 19h 55

wanou2

Quand tu changes de médecin il te file les informations nécessaires pour ton prochain médecin avec les données importantes. Si la pathologie nécessite un suivi sur dix ans il y a même des chances que tu repartes avec un dossier sous le bras comme ça m’est arrivé.



Et puis si tu changes de médecin sans te préoccuper du suivi de tes données je me demande si tu vas te rappeler des laboratoires qui auront fait tes analyses.


Dans les faits ce n’est pas toujours fait.


wanou2 Abonné
Le 25/02/2021 à 07h 46

Soriatane

Dans les faits ce n’est pas toujours fait.


J’oubliais qu’on était en France et qu’il fallait que l’état soit également notre mère.


Le 25/02/2021 à 09h 58

Soriatane

Dans les faits ce n’est pas toujours fait.


Il faut demander son dossier médical en changeant de médecin.
Pour les analyses, radios, scanners, IRM, etc…normalement c’est vous aussi qui les détenez, et sauf à être bordélique en diable, ça ne doit pas se perdre.


FFManiac Abonné
Le 24/02/2021 à 18h 41

Comme indiqué il y a une obligation légale de préservation des données, par les LABM de 10 ans ensuite, avoir une base d’antériorité est importante. Les biologistes ont un devoir d’analyse et d’alerte en cas de résultats anormaux.



Après les données conservés peuvent être consultées dans le cas des procédures légale etc…



Bref la conservation des données médicale a un sens.


wanou2 Abonné
Le 24/02/2021 à 18h 50

FFManiac

Comme indiqué il y a une obligation légale de préservation des données, par les LABM de 10 ans ensuite, avoir une base d’antériorité est importante. Les biologistes ont un devoir d’analyse et d’alerte en cas de résultats anormaux.



Après les données conservés peuvent être consultées dans le cas des procédures légale etc…



Bref la conservation des données médicale a un sens.


Je persiste à dire que je ne vois pas à quoi ça sert. Je suis patient dans trois laboratoires différents (selon l’infirmière qui me prélève ou que je vais à côté du travail). La seule personne qui centralise c’est mon médecin.



Mon radiologue conserve les données 24 mois (c’est ce qui est marquée sur l’affiche dans la salle d’attente).


Le 24/02/2021 à 16h 49

En France les LABM sont obligatoirement accrédités par l’AFNOR pour pouvoir exercer. Pour cela ils doivent appliquer l’ISO 15189 qui les oblige (entre autre) à faire tout ce qui est possible pour sécuriser le SIL, les communications et les éventuelles données externalisées.
Ce qui implique que normalement ces LABM ont dus valider tous les progiciels qu’ils utilisent.



Les informations “qualitatives” indiquées dans les “commentaires” des dossiers patients sont généralement présentes afin de faciliter le travail du biologiste qui valide les dossiers médicaux, car on ne valide pas les résultats d’un patient “sain” de la même façon qu’un patient sous dialyse par exemple.



Cependant, toutes ces données y compris les champs de commentaires devraient normalement être cryptées.



Article L. 1111- 7 et L. 1142-28 du Code de la Santé Publique impose aux LABM de conserver les données pendant 10 ans.


Fabimaru Abonné
Le 24/02/2021 à 18h 50

Dyfchris a dit:


c’est les assurances qui vont être content encore une fois. Ils vont pouvoir mettre dans le rouge les personnes qu’ils estiment potentiellement à “danger” pour des prêts d’achat immobilier et donc mettre des taux explosifs.




C’est un gros risque légal pour celui qui mettrait ça en place. Il faudrait que les preneurs de décisions arrivent à ne laisser aucune trace de l’ordre illégal, parce que sinon il y aura toujours une petite main qui finira par parler.
Ou alors il faudrait que ça soit très insidieux, comme à la banque Wells Fargo où des milliers d’employés avaient ouvert des comptes à l’insu de leurs clients, parce que les objectifs venus d’en haut étaient inatteignables sans frauder. Les dirigeants qui avaient indirectement incité à cette pratique avaient été blanchis et les « tricheurs » virés. Pour le cas des données de santé, je ne vois pas comment ça peut permettre d’avoir un gain à court pour les petites mains (vu qu’un risque de santé mettra statistiquement du temps à se transformer en problème financier).


Le 25/02/2021 à 08h 12

Je suis dans ce cas la depuis 2015 (quand j’ai voulue me positionner sur des appartements) et c’est la merde.
Donc le problème existe déjà. Et si en plus tu es célibataire alors la c’est le ponpon.


Le 25/02/2021 à 10h 05

Dyfchris

Je suis dans ce cas la depuis 2015 (quand j’ai voulue me positionner sur des appartements) et c’est la merde.
Donc le problème existe déjà. Et si en plus tu es célibataire alors la c’est le ponpon.

Acheter un bien immobilier en étant célibataire c’est pour la banque un gros risque, cela a toujours été le cas, sauf à payer cash, et si en plus vous avez des problèmes de santé…
C’est injuste, mais de leur point de vue c’est logique. Déjà que les encours douteux doivent être provisionnés, depuis 2108, ce sont les encours sains. C’est dire si l’état de l’économie et donc du système bancaire est sur un volcan de faillites…


Le 24/02/2021 à 19h 42

Fabimaru a dit:


C’est un gros risque légal pour celui qui mettrait ça en place. Il faudrait que les preneurs de décisions arrivent à ne laisser aucune trace de l’ordre illégal, parce que sinon il y aura toujours une petite main qui finira par parler.




Ou pas. Avec des montages par des sociétés de prestation hors Europe, et en n’abusant pas trop sur la différentiation des tarifs, je suis sûr que ça peut passer.



Les boîtes américaines sont très fortes pour ce genre de bidouillage, genre je m’installe une antenne à Dublin pour ne quasiment pas payer d’impôt, je facture comme un porc aux antennes locales des pays de l’UE pour ne pas être imposable, puis l’antenne irlandaise est en réalité cliente de la maison mère, évidemment domiciliée au delaware pour ne pas trop payer d’impôts aux USA non plus (“on est patriotes, mais, payer des impôts, il ne faut quand même pas abuser”), qui fait absolument ce qu’elle veut des données de ses clients.


Le 24/02/2021 à 22h 23

J’ai un doute : est-ce que les logiciels de gestion des résultats d’analyses biologiques et médicales ne seraient pas considérés comme étant des dispositifs médicaux (cf. règle 11 du MDR, Chapitre III, §6.3) ?
Si tel était le cas, alors les contraintes du MDR sont à prendre en compte - revue par un organisme notifié - et, le cas échéant, les autorités réglementaires peuvent sévir.
Si de tels logiciels ne rentrent pas dans le périmètre du MDR, alors, il serait temps d’en élargir son domaine d’application (j’ai bien conscience que je vais me faire des ennemis).



Aux USA, un tel logiciel rentre dans le périmètre réglementaire de 21 CFR 820 - Quality System Regulation (for medical devices) et requière une clearance de la part de la FDA.



Les automates d’analyse utilisés dans les LABM sont des équipements de diagnostic et donc, en temps que tel, des dispositifs médicaux.



MDR: Medical Device Regulation au sens du Règlement Européen 2017745.



Règle 11 :
*Les logiciels destinés à fournir des informations utilisées pour prendre des décisions à des fins thérapeutiques ou diagnostiques relèvent de la classe IIa, sauf si ces décisions ont une incidence susceptible de causer:
— la mort ou une détérioration irréversible de l’état de santé d’une personne, auxquels cas ils relèvent de la classe III, ou
— une grave détérioration de l’état de santé d’une personne ou une intervention chirurgicale, auxquels cas ils relèvent de la classe IIb.



Les logiciels destinés à contrôler des processus physiologiques relèvent de la classe IIa, sauf s’ils sont destinés à contrôler des paramètres physiologiques vitaux, lorsque des variations de certains de ces paramètres peuvent présenter un danger immédiat pour la vie du patient, auxquels cas ils relèvent de la classe IIb. Tous les autres logiciels relèvent de la classe I.*


tukutt Abonné
Le 25/02/2021 à 07h 41

Pour l’instant tout se focalise sur l’éditeur mais rien n’ai dit sur le labo. A quand remonte le dernier audit de sécurité du SI des labo ? Avoir des serveurs avec des versions obsolètes du logiciel, c’est jouer un peu avec le feu.
Chez moi (dans la santé aussi), c’est audit complet tous les 18 mois et systématique lors de mise en prod. pour toute appli pouvant accéder à Internet.
Dans ce genre de situation, il n’est pas si simple de définir les responsabilités en étant de simple spectateurs.


Le 25/02/2021 à 19h 00

La sécurité informatique c’est loin d’être une préoccupation dans le domaine médical, par manque de formation/sensibilisation, par non volonté de remplacer/faire évoluer du matos qui fonctionne à priori correctement, etc …
Je fais de la maintenance dans le milieu dentaire et ça ne fait pas si longtemps que je ne vois plus de machines sous XP chez les praticiens libéraux.



Jusqu’à encore l’an dernier j’ai même des fournisseurs qui n’assuraient pas de support sous Win10 parceque leur matos n’avait été validé que pour fonctionner avec Win7, voir Win8, et qu’ils ne voulaient pas se faire chier à certifier le matos et ses pilotes sur un nouvel OS et quand c’est sur une radio panoramique/scanner qui coûte entre 60k et 130k euros bah les praticiens gardent les vieux PC pleins de trous de sécurité (c’est d’autant plus critique dans les centres/hôpitaux/cliniques où les machines doivent être mises en réseau pour que tous les praticiens du centre puissent avoir accès aux scans)


jotak Abonné
Le 25/02/2021 à 07h 50

Oh tiens, une répétition de l’affaire Dedalus en vue, à une échelle autrement plus importante? https://www.politico.eu/article/data-at-risk-amazon-security-threat/
Avec whisteblowers virés comme il se doit…


Le 25/02/2021 à 12h 35

Pour info, une instruction judiciaire vient d’être ouverte.
Quelques taquets devraient tomber :)


yohansolo Abonné
Le 25/02/2021 à 12h 51

Yep, j’ai vu l’interview de Cedric O ce matin sur France info et il parle que l’info sur la fuite aurait été transmise à l’ANSSI en novembre dernier mais que pour une raison qu’il ignore les labos concernés et l’éditeurs n’ont jamais prévenu les personnes potentiellement touchées par cette fuite.
Il y a aussi enquête auprès de la CNIL pour comprendre pourquoi celle ci n’aurait pas plus mis la pression sur les concernés pour qu’ils préviennent les usagers touchés…
Et donc instruction judiciaire.



Popcorn !!


Le 25/02/2021 à 18h 43

Mais que fait Hadopi ? C’est en plein dans ses prérogatives de sanctionner les défauts de sécurisation :D
Faudrait peut être annoncer que le dossier médical d’un artiste, ou mieux encore d’un ayant droit, soit concerné pour les faire bouger :D


Le 26/02/2021 à 20h 12

Un site créer par acceis a été mis en place avec votre numéros de sécurité sociale on peut savoir perso je vais demain a la gendarmerie porter plainte pour vol de données personnelles


Xanatos Abonné
Le 28/02/2021 à 09h 45