Archives par mot-clé : données confidentielles

Le pass sanitaire sera-t-il le début d’une surveillance ?

Par rapport à ces différentes caractéristiques, il a été mis en évidence que le pass sanitaire pose un souci d’anonymat.

À cause des informations que l’on peut récolter sur les individus à travers un simple scan, le problème de vie privée et de confidentialité s’est automatiquement posé.

Cet article va aussi vous intéresser : Comment sont gérer les données personnelles du Pass Sanitaire ?

« Aussi en tant que développeur, je constate que nous sommes maintenant à une étape d’une surveillance de masse, que je chiffre à seulement 15 jours de travail. », note François Jolain, informaticien et journaliste IT.

À cause de l’exigence du pass sanitaire, pour accéder à un espace public tel qu’un bar et un restaurant ou un transport public, il faut se faire scanner un QR code qui sera attribué à chaque individu qui déterminera sa situation vis-à-vis du vaccin. Pour ce faire le gouvernement a déployé une application mobile du nom de « TousAntiCovid Verif ». L’application permettra de scanner et déchiffrer les informations contenues dans le QR Code. Le souci majeur se présente au niveau du fait que chaque scan transmet à celui qui est chargé de la vérification un ensemble de données d’identification et personnel de santé. Ce qui est nettement, un obstacle à la vie privée.

« Nous sommes face à deux menaces extrêmes pour notre vie privée, qui sont techniquement rapides à mettre en place. », souligne l’informaticien.

D’un point de vue objectif, le gouvernement peut décider à tout le monde de rapatrier les données réalisées par chaque scan dans un serveur centralisé. Bien évidemment cette situation est hypothétique. Mais si elle arrivait, ce qui est notamment plausible vu la facilité d’effectuer une mise à jour pareil, les autorités pourraient avoir un certain contrôle sur les déplacements et agissements des individus.

« Cette application peut, à tout moment, lors de la prochaine mise à jour rapatrier les données des scans sur un serveur étatique central. Un tel serveur et une telle fonctionnalité sont très faciles à mettre en place en seulement 15 jours de travail. L’état aura alors un point de vue omniscient sur sa population, et nous rentrerons dans une surveillance de masse. », souligne François Jolain.

Comme nous l’avons mentionné plus haut, le QR code va permettre à toute personne qui effectue le scan de pouvoir lire les données contenues dans le Pass Sanitaire. Pourtant, il existe deux moyens simples pour le rendre beaucoup plus sécurisé voir confidentiel.

La première solution consistera à fournir de QR codes potentiellement. Le premier qui concernant les données d’identification personnelles, le second qui contient les données médicales. De la sorte, le second qui ne contient pas de données médicales pourra par exemple être présentées dans des endroits publics tels que les restaurants, les bars etc. C’est qui aura pour mérite de ne pas exposer les données personnelles voir confidentielles aux vu et au su de tous.

La deuxième méthode sera par exemple d’exiger du détenteur du QR code et mot de passe lui permet de traiter son contenu. Ce qui permet aux citoyens de décider quelles informations partagées avec autrui.

En outre, il y a une autre stratégie pouvant être adopté par l’État. Chiffre le QR code et le transformer en une sorte de boîte noire. Dans ce cas par exemple, il sera beaucoup plus facile pour les autorités de pouvoir rattacher d’autres informations de nature sensible mais très personnelles permettant de rattacher les individus à   un critère particulier tel que la religion la race ou encore les idéaux politiques.

« Sachant que l’application de scan affiche déjà un simple “correct” ou “incorrect” sans plus de détails, le combo QR Code chiffré plus application au code source fermé permet au gouvernement de discriminer n’importe qui sur des critères arbitraires en toute discrétion. Ici encore, il ne faut que quelques jours pour mettre en place une telle fonctionnalité. », analyse François Jolain.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La sécurité des données personnelles avec le Pass Sanitaire

Étant devenu obligatoire pour accéder à certains établissements tels que les restaurants les barres ou encore les transports de longues distances où l’ensemble des lieux pour accueillir du grand public, les pass sanitaires continuent de faire parler d’eux.

Dans un certain sens, leur utilisation inquiète une bonne partie de la communauté en particulier les spécialistes de la sécurité informatique et les usagers. La question principale mis au centre de ses inquiétudes n’est rien d’autre que la sécurité et la confidentialité des données.

Cet article va aussi vous intéresser : Les pass sanitaires peuvent-ils constituer un risque en matière de sécurité ?

Dans cet article nous allons aborder ces questions importantes.

1) Quelles sont les données délivrées par le Pass Sanitaire ?

Comme on le sait, les informations qui doivent être délivré par les sanitaires sont encodées sous format QR code. Elles sont constituées notamment :

– d’informations nominatives telles que le nom et le prénom ;

– la date de naissance du détenteur du pass ;

– les mentions valide ou invalide pour ce qui en est de l’attestation de vaccination complète ;

– un test PCR ou antigénique négatif datant de 72 heures ;

– ou un certificat de rétablissement du covid-19.

Cependant, dans la mesure où l’individu doit par exemple prendre un avion, les informations délivrées par le pass sanitaire devient beaucoup plus précise. En plus des informations citées plus haut, d’autres données relatives au vaccin et au test sont incluses à savoir :

– le pays ;

– la date de vaccination ou du test ;

– l’identifiant des certificats ;

– le nom de l’organisme qui délivre ses documents.

2) Comment sont conservées les informations contenues dans le Pass Sanitaire ?

Le pass sanitaire existe sous deux formes. Le format numérique est le format papier tout de valable. Pour ce qu’il en est du format numérique, il peut être conservé en toute sécurité dans la fonction « carnet » de l’application TousAntiCovid. Il suffirait alors de juste scanner le QR code via l’application pour que la version numérique s’enregistre. Lorsque vous décidez de passer au numérique il faut savoir que le certificat reste enregistré dans le smartphone il ne sera envoyé à aucun fichier central, le protégeant ici au piratage informatique. Du côté du gouvernement, les informations contenues dans l’application demeurent dans le smartphone et être supprimées par l’usager à n’importe quel moment.

3) Comment sont traités les données lorsqu’il son scanner via l’application de vérification TousAntiCovid ?

Comme on le sait déjà les commerces à la possibilité de vérifier la validité du passeport sanitaire scan du QR code. Pour cela ils utilisent une application dédiée à cet effet. Selon les recommandations et les exigences du gouvernement, aucun établissement n’a l’autorisation de conserver les données qui seront affichés lors du contrôle. À cet effet ils ont cours en cas de violation de cette règle une amende de 45000 €. « Aucune donnée personnelle n’est stockée, que ce soit sur le terminal de la personne habilitée à contrôler ou sur un serveur central », précise les autorités. Cependant, il y a une possibilité que les informations soient conservées temporairement dans le cadre du contrôle de trajet ou d’un événement.

4) Qui est autorisé à vérifier le Pass Sanitaire ?

Les personnes autorisées dans ce cas de figures sont notamment les gérants d’établissement qui font partie de la liste établie par les autorités et qui détiennent une autorisation de vérifier le pass avant l’admission de clients. Sûr que pèse clairement la responsabilité des contrôles. Bien sûr ils ont le droit de déléguer cette tâche soit à des prestataires ou à des salariés, qu’ils ont pris préalablement leçon d’établir une liste de personnes habilitées ainsi que les dates et les horaires auxquels ces contrôles sont réalisés.

5) Le dispositif prend-il en compte les employeurs vis-à-vis de leurs salariés ?

Pour les établissements qui sont soumis à l’exigence du pas sanitaire, l’employeur aura l’obligation d’exiger à part des du 30 août ce dernier document de la part de son employé avant qu’il puisse avoir accès à son lieu de travail. Cependant une catégorie d’employeurs sont exemples de cette exigence. Il s’agit notamment des établissements tel que les cafés les restaurants les lieux culturels les établissements de santé et des transports à longue distance.

6) D’autres dispositifs peuvent-ils vérifier le Pass Sanitaire autre que TousAntiCovid Verif

Les autorités françaises ont prévu la possibilité de pouvoir utiliser « tout autre dispositif de lecture répondant à des conditions fixées par un arrêté des ministres chargés de la santé et du numérique. ».  Si des alternatives existent déjà à TousAntiCovid Verif, elles doivent notamment répondre à un ensemble d’exigences très strictes, en particulier aux lois qui s’applique à la protection des données personnelles dans le règlement général de la protection des données.

Cependant, la possibilité d’utiliser d’autres dispositifs en particulier provenant d’acteurs privés inquiète au notamment la Commission nationale de l’Informatique et des libertés : « L’utilisation obligatoire d’un unique instrument de lecture des passes sanitaires, développé sous le contrôle de la puissance publique et facilement identifiable pour les citoyens, constituait une garantie importante pour éviter les détournements de données », a estimé l’organisme dans un avis rendu du 9 août.

À cet effet elle recommande que soit établi une liste exhaustive de tous les acteurs privés ainsi que leurs dispositifs pouvant être agréés à lire le Pass Sanitaire et les données qu’il contient.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

WhatsApp et la confidentialité de nos données

Même si Facebook a mauvaise réputation, il n’en demeure pas moins que WhatsApp, la célèbre application de messagerie qui fait partie du groupe a toujours voulu avoir une image de protecteur de données personnelles et de respect de la vie privée.

Pourtant dans la pratique, il a plusieurs fois été démontré que l’application permettait à d’autres logiciels tiers, d’avoir accès aux données de ses utilisateurs. De la sorte, donnant ainsi à ces dernières, la possibilité de suivre les activités en ligne de l’utilisateur de l’application de Messagerie. En d’autres termes, les gens savent avec qui vous converser. Ils savent à l’heure à laquelle vous dormez et ils savent pendant combien de temps vous êtes connecté, et cela à l’insu de l’utilisateur. « Ces applications intrusives montrent que même les services qui protègent fortement la vie privée des utilisateurs d’une certaine manière — comme WhatsApp qui s’est engagé à crypter les messages — peuvent encore exposer des données qui peuvent être utilisées pour tracer leurs utilisateurs. La vulnérabilité de WhatsApp provient de la fonction qui indique publiquement si un utilisateur est « en ligne » (c’est-à-dire s’il est en train d’utiliser l’application) à un moment donné. Isolée, il s’agit d’une information relativement inoffensive. » explique Business Insider.

Cet article va aussi vous intéresser : WhatsApp : l’arnaque dont il faut être au courant

Dans la mesure où cette application dans la possibilité de collecter pendant une longue période des données personnelles, à l’aide de l’ensemble d’outils qui est à leur disposition, ils ont la possibilité de pouvoir définir les profils très bien détaillé des personnes « surveillées »

Mais il faut préciser un point qui va peut-être dans le sens positif des choses, ces applications ne vont pas exposer les données collectées pour l’utilisateur. Il faut juste s’en servir pour définir les profils pouvant être présentés à des futurs annonceurs. Elles ne relèvent pas bien sur le contenu des échanges entre utilisateurs. « Mais elles se présentent aux clients potentiels comme des outils pour savoir quand d’autres personnes sont en train de dormir, quand elles utilisent WhatsApp et même avec qui elles parlent sur l’application — ce qu’elles arrivent à savoir en comparant les journaux d’activité de plusieurs personnes et en voyant lesquels correspondent. » précise Business Insider.

On les compare presque à des applications de traçage qui servent à la surveillance peu conventionnelle, des Stalkerwares.

« Il est facile d’imaginer ce qu’un agresseur pourrait faire avec ces informations ou, autre exemple, un employeur qui l’utiliserait pour savoir si ses employés parlent sur WhatsApp pendant leur journée de travail, ou un membre des forces de l’ordre qui verrait si les gens parlent sur WhatsApp pendant une manifestation ». A expliqué Cooper Quintin, chercheur principal en sécurité à l’Electronic Frontier Foundation (EFF) quand il a été interrogé sur les logiciels de surveillance de WhatsApp. « Je ne vois aucune bonne utilisation légitime à ces applications. » ajoute-il.

Pris en tenaille par la ferveur populaire qui qui en veut à Facebook pour ses nouvelles conditions d’utilisation, le service de messagerie a voulu éclaircir certains détails lors d’un communiqué fait par son porte-parole: « WhatsApp fournit des outils de contrôle de confidentialité aux utilisateurs pour protéger leur photo de profil, leur statut « à propos » et l’option « vu à » pour les messages reçus. Nous maintenons des systèmes automatisés de lutte contre les abus qui identifient et empêchent les abus d’applications qui tentent de détecter les informations des utilisateurs de WhatsApp, et nous travaillons constamment pour améliorer nos systèmes au fil du temps. Nous demandons également aux magasins d’applications de supprimer les applications qui abusent de notre marque et violent nos conditions d’utilisation. ».

Pourtant, il a été découvert récemment, une application qui permet aux iPhones de pouvoir avoir accès au contenu des échanges sur WhatsApp. Ce genre d’application pour lui faire de plus en plus sur les stores Officiels d’application. On parle notamment de l’AppStore ou le PlayStore. Ce qui est bien évidemment susceptible d’inquiéter et de pousser à s’interroger sur les analyses que Google ou Apple effectuent au niveau de leurs stores. Pour le moment, aucune des deux entreprises ne s’est prononcée sur cette situation. Mais on peut retenir que leur politique et normalement contraire à la prolifération de ce genre de logiciels espions. Ne promettent-il pas de protéger contre tout ceci.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un incident informatique entraîne la divulgation par erreur du statut infecté de patients au CoVid-19

L’affaire débute lorsqu’un individu de nationalité française reçoit par erreur un courrier électronique qui à la base ne lui était pas destiné.

Le courrier en question contenait des informations sensibles concernant d’autres personnes. Interrogé sur la question, l’assurance maladie a assuré que cet incident est totalement isolé et sans précédent. L’Agence a mentionné le fait qu’elle développe constamment les outils informatiques pour s’assurer que ce genre de choses n’arrivent pas. Cependant, l’incident a mi en évidence une défaillance notoire du processus de sécurisation des transactions électroniques. Surtout ce qui concerne le suivi et la protection des identités des personnes touchées par le covid-19.

Cet article va aussi vous intéresser : Un outil pour lutter contre les failles de sécurité affectant les robots industriels

On se rappelle que le 14 septembre dernier, un citoyen Français du nom de Antoine signalait une fuite de données assez surprenante. Il reçoit un courrier électronique dans un espace sécurisé un document PDF. Ces documents contenaient les informations de 3 personnes atteintes du CoVid-19.

Le plus embarrassant dans cette histoire, c’est que les documents qu’il reçoit contiennent des informations très détaillé de l’identité des personnes. On parle notamment d’informations telles que les noms et prénoms, des adresses géographiques, des numéros de sécurité sociale. Avec la mention que ces personnes étaient touchées par le covid-19. La question qui se pose légitimement dans ce contexte de savoir qu’est-ce qui est arrivé et comment ces données ont pu atterrir dans l’espace sécurisé de l’individu.

« Le courrier, reçu après avoir été déclaré positif à Covid-19, contient le prénom, le nom, l’adresse et le numéro de sécurité sociale de l’assuré. Antoine en a reçu trois qui ne lui étaient pas destinés » précise le média ligne Numerama. 5 minutes après avoir été prévenu de l’incident, l’institution a automatiquement réagi. L’assurance maladie a signifié avoir même lancé une enquête en interne pour découvrir d’où venait le problème. Elle réagit juste le lendemain à travers un courriel qui note ceci : « L’incident n’est pas dû à une faille de la sécurité informatique du compte Amélie ou du système informatique de l’Assurance Maladie, mais à une manipulation inappropriée d’un agent lors du chargement du courrier destiné à l’assuré. Il ne s’agit en aucun cas d’un problème généralisé ou fréquent. ».  Elle ajoute par la suite qu’elle allait contacter les 3 personnes dont les données ont été divulguée par erreur. Que si elle a tardé avant de les informer du problème, c’est que l’erreur n’aurait pas été vite aperçue. : « Votre signalement nous conduit naturellement à mettre en œuvre l’ensemble des obligations prévues par le Règlement général sur la protection des données dans l’intérêt de la protection des droits des personnes concernées. ». La notification aux personnes victimes des fuites de données est il faut le noter, une exigence prévue par le règlement général des données personnelles européen. Il a aussi exigé de le prévoir auprès de la CNIL

L’erreur puise sa source certainement dans le fait que Antoine, le citoyen qui a reçu les informations, avait aussi passer un test en laboratoire dans le but de connaître son statut face au CoVid-19. Ce dernier ayant été beaucoup en contact avec des personnes testées positives au CoVid-19. Évidemment son test j’ai aussi positif. Alors il reçoit un appel de la part de la brigade CoVid-19, une section de l’Assurance maladie, dans le but est de conseiller sur la conduite à tenir ainsi que de savoir les personnes avec qui il a pu être en contact, les personnes qui l’a côtoyé pendant les 5 jours qui ont précédé son test. 2 jours plus tard dans un courrier de rappel de respect des mesures barrière, l’Assurance maladie commet l’erreur de joindre à ce dernier courrier d’autres documents n’appartenant pas au citoyen. « Vu la sensibilité des données qui sont manipulées, la simple éventualité que l’erreur d’une seule personne puisse aboutir à ce genre d’incident ne devrait pas exister. Ici, un opérateur a probablement oublié d’ouvrir un fichier PDF différent pour chaque courrier, et les a à tort regroupés, sans s’en rendre compte. Cela signifierait que ce processus d’envoi d’email n’est pas automatisé, alors que le document est le même pour tous — il pourrait donc s’agir d’une procédure technique assez simple à mettre en place pour limiter les risques d’une erreur humaine » décrit Numérama.

Cette affaire sera notamment anecdotique. Si elle est grave parce que des données aussi sensibles ont pu être transmises à des individus autres que les véritables titulaires, il n’en demeure pas moins que l’impact a été assez moindre et facilement gérable. Le plus important est de trouver moyen d’éviter que cela n’arrive à nouveau. Pour cela l’assurance maladie assure : « L’éventualité d’un tel incident a déjà été identifiée. Pour y remédier, une solution technique est en cours de développement afin que ce type d’anomalie ne se reproduise plus. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Quelques astuces pour améliorer sa sécurité sur le télétravail

Le télétravail aujourd’hui est devenu une mode.

Cependant il faudrait l’exercer en toute sécurité et efficacement. Alors voici pour vous quelques conseils pour maximiser les effets positifs de votre travail à distance.

1- Définissez clairement vos priorités

Le télétravail n’est pas quelque chose qui avait été au préalable défini pour beaucoup de personnes. Et c’est nouveau pour d’autres. c’est pour cette raison qu’il faut définir quelles sont les priorités et quels sont les services qui doivent continuer à tourner mais en télétravail. De la sorte, vous pourrez facilement affecter les ressources nécessaire pour avoir seulement une bonne visibilité du travail, mais aussi assurer une certaine sécurité de vos flux de données. Guannan Lu, un analyste de la structure de conseil Forrester, conseille « de mettre de côté le budget informatique nécessaire pour s’assurer que l’infrastructure centrale de votre organisation est prête à faire face au passage au travail à distance. ». Par ailleurs, il suggère ceci : « Assurez-vous que vous suivez et optimisez les dépenses liées au Cloud au quotidien ».

2- Mettre le paquet au niveau de la sécurité informatique

En ce qui concerne la cybersécurité, aucune concession n’est permise. Peu importe l’organisation et le contexte, les ressources  doivent être affectées le plus correctement possible à la cybersécurité. En effet les Pirates informatiques sont à l’affût, et attendent la moindre erreur de votre part. D’abord sur le plan financier et sur le plan matériel, l’entreprise doit faire en sorte de disposer de tous les éléments nécessaires pour construire une infrastructure le plus sécuritaire possible. Deuxièmement, l’inquiétude devra le plus souvent être dirigée au niveau du suivi. En effet, les responsables de la sécurité informatique doivent s’assurer que les employés respectent non seulement les normes de sécurité, et cela même en télétravail. Mais ils doivent aussi vérifier que ces derniers remplissent  toujours les conditions nécessaires pour le respect strict des protocoles définis. « Et pour une sécurité plus stricte, vous pouvez avoir besoin de solutions d’accès au réseau Zero Trust qui donnent un accès moins privilégié aux applications », soulignent les analystes de la société de conseil Forrester.

3- Fournir les meilleurs outils pour le travail à distance

Ils est clair que le problème actuellement est de trouver un ensemble de moyens pour assurer la collaboration à distance. . « Les DSI peuvent se sentir sous pression pour accélérer la transformation numérique », relève a juste titre le cabinet Forrester. Cependant, il ne faut pas se limiter simplement qu’à trouver des moyens. Il faut trouver les meilleurs possible. En effet, s’il existe plusieurs outils permettant de collaborer à distance, il n’en demeure pas moins que tout ces outils ne sont pas efficaces. Du moins comme il faut dans certaines circonstances. Selon les analyses de Forrester, les outils de base pour assurer une très bonne collaboration à distance sont les téléphones, les outils de partage de fichiers, les services de messagerie et de vidéoconférence. Mais ne prenez pas n’importe quel outils dans votre sélection.

4- Ne surestimer pas votre équipe

En effet, il faut marquer le faire que tout le monde ne connaît pas de base. Les Outils qui semblent les plus facile à utiliser ne le sont pas pour tout le monde. Par conséquent, Les responsables le système d’informations bon s’assurer que la majorité de leur personnel maîtrise les bases avant d’initier un quelconque protocole. Forrester met en évidence le cas de la Chine ou des employés se sont trouvés à utiliser des outils de collaboration à distance pour la toute première fois : « ils ont supposé que ce serait comme utiliser FaceTime (…) mais ils ont rencontré un certain nombre de problèmes, notamment l’interopérabilité des appareils, de mauvaises expériences de partage de bureau et des difficultés à ajuster les appareils audios ».

5- Aucune question ne doit rester sans réponse

La communication doit être la base lorsque le télétravail démarre. Chaque individu impliqué dans cette équipe doit avoir un point d’attache où il sait qu’il pourra s’informer en temps réel. Plus longtemps on reste dans le doute, plus les chances de commettre des erreurs augmentent. C’est pour cette raison qu’il faut faire beaucoup attention et surtout ne pas laisser des points d’ombre le plus possible.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage