J'ai plongé dans le fichier des 500 000 patients qui a fuité sur Internet.
S'il contient très peu de données médicales, il recèle des dizaines de milliers de mots de passe, n° de tél, adresses postales et e-mail... « en clair ». #Thread /1
Sur @nextinpact nextinpact.com/article/46256/…
Nous avons comptabilisé 489 838 numéros de sécurité sociale & 478 882 personnes identifiées par leurs noms de famille, dont 268 983 femmes, 195 828 hommes, 13 478 qualifiées d'« enfant », 425 de « bébé » et 265 de « sœur ». /2
La base de données dénombre 270 569 n° de tél fixe et 159 591 portables de patients.
Plus 14 928 n° de tél fixes et 1 971 portables de 16 590 médecins fiché.
Plus 55 738 adresses email uniques de patients et 337 de médecins.
Plus leurs adresses postales (j'ai pas compté) /3
Le fichier contient également 14 997 mots de passe, dont 11 443 mots de passe uniques. On y trouve quelques récurrences étonnantes, dont tt plein de déclinaisons de pupuce, biscotte, chipie, chouchou, jetaime, mamour, princesse, louloute, doudou, gribouille, & 26 de loulou /4
Signe que la base de données repose sur un vieux logiciel, on y trouve une catégorie « Consultation Minitel ».
Un test associé à une adresse @mega-bus.com utilisée par un employé de Dedalus a par ailleurs été horodaté le 3 mai 2018. /5
Notre analyse montre une moyenne de 200 occurrences mensuelles pour les années 2015 et 2016, de 4 à 7 000 de janvier 2017 à mai 2018, puis de 17 à 28 000 en 2018 et 2019, laissant supposer que le déploiement du logiciel aurait bel et bien en lieu en mai 2018 : /6
Or, le RGPD est précisément entré en application en mai 2018. En faisant le choix de recourir à un logiciel le sécurisant pas l'accès aux données & mdp, les responsables des traitements de données, tout comme le fournisseur du logiciel, ne respectaient alors pas le RGPD. /7
En attendant les résultats des enquêtes de Dedalus (l'éditeur du soft), de la @CNIL et du Parquet, je profite de l'occasion pour partager ce qui m'a (notamment) permis d'enquêter, *en lignes de commande* :
grep -i -E "(azerty|mamour)" fullfrdb500k.txt
pour les occurences /8
Et, pour quantifier le bouzin des données :
cat fullfrdb500k.txt | cut -d ';' -f154 | sed 's/ //g' | sed 's/\.//g' | sed 's/\-//g' | sed '/^$/d'| sort | uniq | wc -l
Pour les non-abonnés, l'article sera #libere dans 1 mois (mais vous pouvez aussi vous abonner /-) /9
L’an passé, nous avions déjà révélé que ce « leader européen en matière de solutions logicielles de Santé » avait licencié, pour « fautes graves », un lanceur d'alerte qui avait précisément prévenu les autorités de ses problèmes de sécurité. /10 nextinpact.com/article/43405/…
Dedalus a identifié et informé les 28 laboratoires concernés répartis dans 6 dpts (22, 27, 35, 41, 45, 56)
Mis en examen pour avoir revendu des informations sensibles sur le darkweb, @Ced_haurus, ex officier de police judiciaire à la DGSI, publie un guide de vulgarisation consacré aux investigations techniques en matière de téléphonie mobile /1
Sur @nextinpact nextinpact.com/article/45437/…
Inscrit sur Twitter depuis fin 2019, il a consacré plusieurs threads aux questions d'investigation numérique, expliquant notamment comment des policiers essaient d'aspirer des données des messageries chiffrées tel que Signal. /2
Il y vient aussi de mettre en ligne un livre & un site, haurus.fr, qui ont pour objectif d'informer les avocats & professionnels du droit sur les techniques d'investigation déployées par les enquêteurs et les services de renseignements /3
#StopCovid « des mesures supplémentaires seront mises en place afin d'empêcher la notification d'une personne dont les interactions sociales seraient trop peu nombreuses pour que celles-ci ne puissent aisément déduire d'où vient l'information » 🙄 🤔 /1 senat.fr/questions/base…
C'est la réponse donnée par le cab' de @cedric_o à une question d'@estherbenbassa au sujet des « garde-fous mis en place afin que l'application puisse être conciliable tant avec le respect de la vie privée qu'avec le consentement libre et éclairé de la population française » /2
1/ #StopCovid "Y'a un tel enjeu sanitaire que je ne vois pas Apple & Google, qui prennent en otage les États, opposer aux autorités sanitaires que non, pas question de toucher au Bluetooth à cause de la batterie. Mais si demain c'est mort-né, ben c'est pas grave", dixit @Aymeril
2/ Sauf que...:
. il n'y a pas qu'Apple à bloquer le Bluetooth en tâche de fond, tout plein d'Android le font aussi : dontkillmyapp.com
. ce n'est pas que pour épargner la batterie, c'est aussi pour éviter que d'autres app' utilisent le Bluetooth pour surveiller les gens.
3/ #StopCovid ne servira donc à rien avec les iPhone et Android qui bloquent le Bluetooth en arrière-plan, et @Aymeril le reconnaît dans l'itw; la question est : pourquoi ne pas l'avoir intégré dès le début dans le cahier des charges, alors qu'on le savait grâce à TraceTogether ?
Où l'on découvre que les pbs de com' internes étaient tels que 14 salariés déploraient... "l‘absence d'index" du moteur de recherche, et que "le manque d'effort mis sur Qwant.com est simplement inacceptable" /2
Que d'autres déploraient également une « mauvaise gestion du budget interne (pas de livraison d'eau, café, papier toilettes pour non paiement) », ainsi que des « licences (logicielles) non payées, du matériel insuffisant et obsolète ». /3
/1. À 3 h, #Steve envoie 2 SMS à un copain : "Je suis trop fatigué. J’ai besoin d’aide :). Je suis au mur, assis là où il y a le drapeau Bretagne. On peut se retrouver ou quoi. STP".
-> il était où le drapeau Bretagne, près du quai Wilson ? presseocean.fr/actualite/nant…
/2. son tél cesse de borner pour la dernière fois quai Wilson à 3h16 (#IGPN)
"Est-il éteint ? La batterie est-elle épuisée ? À ce stade des investigations, il semble qu’aucun participant ne soit sûr de l’avoir revu après l’envoi de ces textos." cc @davduf
/3. les lacrymos sont lancés à partir de 4h37, jusqu'à 4h50
A 5h52, un "copain" alerte de sa disparition & qu'ils auraient été gazés vers 4h30
-> le copain était "avec" Steve lors des tirs de lacrymo, ou présumait-il alors (& logiquement) que Steve était "encore" sur le quai ? 🤔