J'ai plongé dans le fichier des 500 000 patients qui a fuité sur Internet.
S'il contient très peu de données médicales, il recèle des dizaines de milliers de mots de passe, n° de tél, adresses postales et e-mail... « en clair ». #Thread /1
Sur @nextinpact
nextinpact.com/article/46256/…
Nous avons comptabilisé 489 838 numéros de sécurité sociale & 478 882 personnes identifiées par leurs noms de famille, dont 268 983 femmes, 195 828 hommes, 13 478 qualifiées d'« enfant », 425 de « bébé » et 265 de « sœur ». /2
La base de données dénombre 270 569 n° de tél fixe et 159 591 portables de patients.
Plus 14 928 n° de tél fixes et 1 971 portables de 16 590 médecins fiché.
Plus 55 738 adresses email uniques de patients et 337 de médecins.
Plus leurs adresses postales (j'ai pas compté) /3
Le fichier contient également 14 997 mots de passe, dont 11 443 mots de passe uniques. On y trouve quelques récurrences étonnantes, dont tt plein de déclinaisons de pupuce, biscotte, chipie, chouchou, jetaime, mamour, princesse, louloute, doudou, gribouille, & 26 de loulou /4
Signe que la base de données repose sur un vieux logiciel, on y trouve une catégorie « Consultation Minitel ».
Un test associé à une adresse @mega-bus.com utilisée par un employé de Dedalus a par ailleurs été horodaté le 3 mai 2018. /5
Notre analyse montre une moyenne de 200 occurrences mensuelles pour les années 2015 et 2016, de 4 à 7 000 de janvier 2017 à mai 2018, puis de 17 à 28 000 en 2018 et 2019, laissant supposer que le déploiement du logiciel aurait bel et bien en lieu en mai 2018 : /6
Or, le RGPD est précisément entré en application en mai 2018. En faisant le choix de recourir à un logiciel le sécurisant pas l'accès aux données & mdp, les responsables des traitements de données, tout comme le fournisseur du logiciel, ne respectaient alors pas le RGPD. /7
En attendant les résultats des enquêtes de Dedalus (l'éditeur du soft), de la @CNIL et du Parquet, je profite de l'occasion pour partager ce qui m'a (notamment) permis d'enquêter, *en lignes de commande* :
grep -i -E "(azerty|mamour)" fullfrdb500k.txt
pour les occurences /8
Et, pour quantifier le bouzin des données :
cat fullfrdb500k.txt | cut -d ';' -f154 | sed 's/ //g' | sed 's/\.//g' | sed 's/\-//g' | sed '/^$/d'| sort | uniq | wc -l
Pour les non-abonnés, l'article sera #libere dans 1 mois (mais vous pouvez aussi vous abonner /-) /9
L’an passé, nous avions déjà révélé que ce « leader européen en matière de solutions logicielles de Santé » avait licencié, pour « fautes graves », un lanceur d'alerte qui avait précisément prévenu les autorités de ses problèmes de sécurité. /10
nextinpact.com/article/43405/…
Dedalus a identifié et informé les 28 laboratoires concernés répartis dans 6 dpts (22, 27, 35, 41, 45, 56)

Ils ont l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises /11
cnil.fr/fr/violation-d…

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with jean marc manach

jean marc manach Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @manhack

20 Jan
Mis en examen pour avoir revendu des informations sensibles sur le darkweb, @Ced_haurus, ex officier de police judiciaire à la DGSI, publie un guide de vulgarisation consacré aux investigations techniques en matière de téléphonie mobile /1
Sur @nextinpact
nextinpact.com/article/45437/…
Inscrit sur Twitter depuis fin 2019, il a consacré plusieurs threads aux questions d'investigation numérique, expliquant notamment comment des policiers essaient d'aspirer des données des messageries chiffrées tel que Signal. /2
Il y vient aussi de mettre en ligne un livre & un site, haurus.fr, qui ont pour objectif d'informer les avocats & professionnels du droit sur les techniques d'investigation déployées par les enquêteurs et les services de renseignements /3
Read 19 tweets
21 May 20
#StopCovid « des mesures supplémentaires seront mises en place afin d'empêcher la notification d'une personne dont les interactions sociales seraient trop peu nombreuses pour que celles-ci ne puissent aisément déduire d'où vient l'information » 🙄 🤔 /1
senat.fr/questions/base…
C'est la réponse donnée par le cab' de @cedric_o à une question d'@estherbenbassa au sujet des « garde-fous mis en place afin que l'application puisse être conciliable tant avec le respect de la vie privée qu'avec le consentement libre et éclairé de la population française » /2
Je peine cela dit à comprendre pourquoi un « cas contact » n'en serait pas tenu informé... au motif qu'il pourrait identifier la personne qui l'aurait potentiellement exposé au #Covid19... #PrivacyMadness ? /3
cc @privaticsinria @aymeril @nataliabielova @Cunchem @vincentgrenoble
Read 15 tweets
26 Apr 20
1/ #StopCovid "Y'a un tel enjeu sanitaire que je ne vois pas Apple & Google, qui prennent en otage les États, opposer aux autorités sanitaires que non, pas question de toucher au Bluetooth à cause de la batterie. Mais si demain c'est mort-né, ben c'est pas grave", dixit @Aymeril
2/ Sauf que...:
. il n'y a pas qu'Apple à bloquer le Bluetooth en tâche de fond, tout plein d'Android le font aussi : dontkillmyapp.com
. ce n'est pas que pour épargner la batterie, c'est aussi pour éviter que d'autres app' utilisent le Bluetooth pour surveiller les gens.
3/ #StopCovid ne servira donc à rien avec les iPhone et Android qui bloquent le Bluetooth en arrière-plan, et @Aymeril le reconnaît dans l'itw; la question est : pourquoi ne pas l'avoir intégré dès le début dans le cahier des charges, alors qu'on le savait grâce à TraceTogether ?
Read 13 tweets
8 Aug 19
Fin mai, une 40aine d'employés de @Qwant_FR ont lancé un "immense signal d'alerte", au motif qu'elle aurait "besoin d‘envoyer des signes forts et positifs à ses employés". Mon #factcheck, pour @nextinpact /1
nextinpact.com/news/108123-le…
Où l'on découvre que les pbs de com' internes étaient tels que 14 salariés déploraient... "l‘absence d'index" du moteur de recherche, et que "le manque d'effort mis sur Qwant.com est simplement inacceptable" /2
Que d'autres déploraient également une « mauvaise gestion du budget interne (pas de livraison d'eau, café, papier toilettes pour non paiement) », ainsi que des « licences (logicielles) non payées, du matériel insuffisant et obsolète ». /3
Read 7 tweets
31 Jul 19
/1. À 3 h, #Steve envoie 2 SMS à un copain : "Je suis trop fatigué. J’ai besoin d’aide :). Je suis au mur, assis là où il y a le drapeau Bretagne. On peut se retrouver ou quoi. STP".
-> il était où le drapeau Bretagne, près du quai Wilson ?
presseocean.fr/actualite/nant…
/2. son tél cesse de borner pour la dernière fois quai Wilson à 3h16 (#IGPN)
"Est-il éteint ? La batterie est-elle épuisée ? À ce stade des investigations, il semble qu’aucun participant ne soit sûr de l’avoir revu après l’envoi de ces textos." cc @davduf
/3. les lacrymos sont lancés à partir de 4h37, jusqu'à 4h50
A 5h52, un "copain" alerte de sa disparition & qu'ils auraient été gazés vers 4h30
-> le copain était "avec" Steve lors des tirs de lacrymo, ou présumait-il alors (& logiquement) que Steve était "encore" sur le quai ? 🤔
Read 26 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!