Archives par mot-clé : données personnelles

Comment sont gérer les données personnelles du Pass Sanitaire ?

Dorénavant en France le Pass Sanitaire est obligatoire.

Pourtant, la mise en place de ce dispositif met à mal plusieurs questions de cybersécurité en particulier la confidentialité des données personnelles. La question que plusieurs citoyens français se pose, c’est de savoir si leurs données sont véritablement protégées.

Cet article va aussi vous intéresser : Comment le gouvernement français protège t-il les données des pass sanitaires en circulation ?

Car d’une manière ou d’une autre, la question c’est plusieurs fois posé de savoir si le gouvernement ne voulait pas profiter de cette lutte contre la pandémie pour étendre un dispositif de surveillance et de traçage.

La grogne autour du pass sanitaire continue depuis qu’il a été avancé comme étant obligatoire. À travers la France plusieurs manifestations peuvent s’observer. Certains jugent cette mesure disproportionnée. Quant à d’autres elle est liberticide.

De notre côté, on s’interroge sur l’aspect sécuritaire et de la confidentialité des données qui transitent dans l’ensemble du dispositif. Comment les données vont être protégées ? Qui peut y avoir accès et pourquoi ?

Grâce au QR code du Pass sanitaire, les personnes qui sont contraintes ou qui sont chargées du contrôle à savoir : les forces de l’ordre où les commerçants aux restaurateurs ou gestionnaires d’espaces publics peuvent déterminer si la personne en face remplir les conditions pour accéder à cet espace concerné par le contrôle. Généralement c’est des individus ayant fais leur vaccin contre le covid-19.

L’application utilisée ici pour contrôler les QR code est TousAntiCovid, une application développée par Lunabee Studio.

Pour les livraisons de restaurants ou dans le droit de distraction tels que les bars, ils doivent utiliser une autre application qui est « TousAntiCovid Verif » qui a été développée par IN Groupe, une entreprise de l’État française.

Les personnes qui exécute ce contrôle peuvent accéder à plusieurs types d’informations de l’individu contrôlé. On parle notamment :

– du nom et prénom

– la date de naissance

– la validité du Pass sanitaire qui est marquée par un voyant au vert au rouge.

Selon l’entreprise étatique IN Groupe, les informations qui sont contenues dans le QR code sont cryptées. De ce fait, le professionnel en charge de faire le contrôle ne peut pas véritablement savoir si la personne en face de lui a été vaccinée ou exposée au virus ou même testée.

Par ailleurs, le règlement général pour la protection des données, la norme européenne en la matière a formellement interdit que des données personnelles soit sauvegarder par des pays étrangers. De ce fait, les données personnelles de pass sanitaire délivré en France, doivent rester en France.

L’une des inquiétudes concernant les données contenues dans le pass sanitaire était de savoir si elles étaient conservées. Car il y avait bel et bien un risque que ces informations puissent être utilisées à des fins autre que prévu à la base. Mais la réponse vient du décret du 7 juin 2021 qui dispose que : « les données ne sont pas conservées sur l’application TousAntiCovid Verif et ne sont traitées qu’une seule fois lors de la lecture du justificatif ». Information qui a même été réitérée par le ministère de la Santé. L’exigence de la non conservation concerne même les personnes qui font les contrôles sur des documents papiers. De ce fait, la loi du 31 mai 2020 portant sur la gestion de la sortie de la crise sanitaire sanctionne l’action de conserver ou des réutiliser le pass sanitaire sur papier, d’une amende de 45 000 € et d’une peine d’emprisonnement de 1 ans.

Cependant, le doute persistait toujours. Car du côté des professionnels qui effectuent le contrôle, il leur avait été exigé de tenir un cahier d’identification des contrôleurs. Un cahier qui va regrouper le nom de l’ensemble des personnes qui auront effectué les scans au cours de la journée.

On rappelle d’ailleurs que la Commission nationale de l’Informatique et des libertés avait réclamé le code source de l’application TousAntiCovid pour quelques vérifications de la part des experts indépendants en vue de rechercher des vulnérabilités. Il a donc fallu attendre plusieurs mois sans aucune justification avant que l’entreprise d’État puisse finalement se décider à publié le code source de l’application TousAntiCovid. Cependant l’entreprise à prétexter des raisons de sécurité pour ne pas divulguer l’ensemble du code source de l’application.

On se trouve alors dans une situation où il n’y a pas totalement de transparence. En effet personne n’est donc en mesure de consulter ni de vérifier comment l’application fonctionne normalement. En dehors du gouvernement.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La sécurité de T-Mobile serait horrible selon le pirate informatique qui l’a récemment attaqué

Il y a une semaine de cela, l’opérateur américain T-Mobile a confirmé avoir été victime d’une cyberattaque affectant les données personnelles d’une dizaine de millions de ses clients.

Si l’opérateur a eu pour réflexe de fermer rapidement les points d’accès compromis, le pirate informatique ayant réussi cet exploit a déjà commencé à mettre en vente les données qu’il avait réussi à voler avant la découverte de son acte de cybermalveillance. Pendant que la société américaine essayait tant bien que mal de réparer les dommages causés par cette faille de sécurité, le cybercriminel revendique son coup de force en accordant même, un entretien au média américain, The Wall Street Journal, une interview assez insolite. Lors de l’entretien, il dit porter le nom de John Binns. Il n’hésite pas apportée des critiques virulentes en l’encontre de T-Mobile et sa manière de gérer sa sécurité informatique.

Selon le pirate informatique, il aurait découvert pour la toute première fois un routeur de T-Mobile qui n’était pas protégé depuis le mois de juillet. Il a donc analysé les adresses internet connus déjà de l’opérateur américain à la recherche de failles de sécurité qu’il pourrait exploiter. Il ajoute même qu’il a utilisé un outil informatique disponible et accessible par tout le monde. Cependant il n’a pas affirmé avoir vendu les données qu’il avait réussi à dérober. Cette information vient de Motherboard, qui dans son rapport initial avait dit que ces données étaient à vendre

« Leur sécurité est horrible », a déclaré le pirate informatique lors de son entretien avec The Wall Street Journal sur Telegram.

Il semblerait que le pirate informatique cherche à attirer l’attention sur une soi-disant persécution qu’il subit de la part de gouvernement américain. Car il a profité pour parler un peu de sa vie personnelle. Ce serait un Américain qui aurait grandi aux États-Unis mais qui a dû déménager en Turquie il y a 3 ans de cela. Il affirme même avoir été kidnappé et placer de force dans un soi-disant hôpital psychiatrique.

« Il s’est extasié sur la façon dont il pouvait faire n’importe quoi avec un ordinateur » a souligné son parent.

« Je n’ai aucune raison d’inventer une fausse histoire d’enlèvement et j’espère que quelqu’un au sein du FBI divulguera des informations à ce sujet », note le pirate informatique.

Selon ce dernier, c’est l’une des raisons qui l’a motivé à vouloir se manifester et parler en public après son attaque informatique.

De son côté, l’opérateur mobile américain a déclaré qu’il était en train de prendre les mesures nécessaires pour améliorer et protéger toutes les personnes qui ont été touchées directement ou indirectement par cette violation massive des données. Par exemple l’entreprise américaine a offert 2 ans de suivi et de protection d’identité gratuite couplé a un service de protection contre le vol d’identité de la société de cybersécurité McAfee. T-Mobile à part ailleurs recommandé à tous ses clients postaux payer de procéder à la modification de leurs codes Pin.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Sécurité des données personnelles : l’utilisation du WiFi du médecin par le patient

Dans une décision rendue très récemment, la chambre disciplinaire nationale de l’ordre des médecins se prononçait sur un contentieux qui exposait 2 praticiens de la profession concernant la mise en ligne de certaines informations de patients sur les activités d’un cabinet.

En l’espèce, nous avons un médecin plaignant qui déclare que le compte « Google business », mis en ligne, au cœur de cette affaire, ne l’a pas été avec une autorisation expresse de sa part. Il a ajouté aussi que l’avis négatif portait totalement atteinte à son honneur.

Cet article va aussi vous intéresser : APT31 cible votre routeur WiFi

Ce qui attire l’attention autour de cette affaire c’est seulement le fait que le praticien qui se constitue en plaignant au cours de ce contentieux a réussi à démontrer à travers plusieurs procédures judiciaires dirigées contre son fournisseur d’accès, que l’avis négatif porté à son encontre était issu d’une adresse IP qui appartenait à l’un de ses confrères contre lequel il avait déjà déposé une plainte pour non-respect de la déontologie.

Dans ce contexte, les institutions disciplinaires alors on lui sa décision au visa de l’article R. 4127-56 du code de la santé publique, qui dispose que :

« Les médecins doivent entretenir entre eux des rapports de bonne confraternité. Un médecin qui a un différend avec un confrère doit rechercher une conciliation, au besoin par l’intermédiaire du conseil départemental de l’ordre. Les médecins se doivent assistance dans l’adversité ».

Par conséquent la chambre disciplinaire a conclu immédiatement que l’avis qui a été mis en ligne porte d’une manière ou d’une autre atteinte à la qualité de la pratique professionnelle du médecin plaignant.

Durant la période de l’instruction, le médecin accusé a quant à lui réussi à prouver que c’était l’un de ses patients qui reconnaissait suite à une attestation avoir faire la publication. Ces derniers se justifie de la présence de son adresse IP derrière cet avis par le fait qu’il mettait à disposition son accès wifi dans la salle d’attente dans tous les patients aux visiteurs pouvez y accéder.

Pourtant, l’article L. 32 15° du code des postes et des communications électroniques dispose que :

« On entend par opérateur toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques ».

De son côté, les institutions disciplinaires déclarent sans s’appuyer sur l’article susvisé que :

« Le partage de son accès à internet par un réseau sans fil utilisant la technologie wifi, outre qu’il faisait courir un risque pour l’intégrité de son système informatique en cas d’utilisation malveillante à son égard, engageait la responsabilité du Dr A puisqu’il était ainsi fournisseur d’accès à internet pour ses patients. Il devait donc faire preuve de la plus grande vigilance, dès lors que des messages pouvaient être postés sous couvert de son adresse IP ».

En d’autres termes, un praticien qui met à disposition son accès wifi à ses patients ou visiteurs que ces derniers puissent accéder à internet doit être considéré en ces termes comme un fournisseur d’accès.

Par ailleurs, la chambre disciplinaire a soulevé une situation qui à la base ne faisait pas partie du contentieux. C’est le fait que permettre à des personnes extérieures au service d’accéder à Internet grâce au wifi mettez en péril l’intégrité des systèmes informatiques du médecin, ce qui mettait bien évidemment en danger la confidentialité de ces dossiers.

Elle ajoute par ailleurs que :

« En l’espèce, il ressort des pièces du dossier qu’alors même qu’il a été averti par le Dr B de ce qu’un avis mettant gravement en cause les qualités professionnelles de ce dernier en des termes particulièrement violents de nature à le déconsidérer avait été émis en utilisant son adresse IP, le Dr A n’a ni répondu au Dr B, ni entrepris une action pour rectifier ou pour faire rectifier cet avis. En ne donnant aucune suite à la demande dont il avait été saisi, il a manqué au devoir de confraternité qui s’imposait à lui en application des dispositions de l’article R. 4127-56 du code de la santé publique ».

On peut retenir seulement que l’institution disciplinaire n’a pas sanctionné le fait que le réseau Internet du praticien a été utilisé dans une mauvaise intention. La sanction puise sa source dans le fait que le confrère qui une fois alerté par l’autre, n’a rien fait pour rectifier l’avis qui a été mis en ligne par intermédiaire de son adresse IP. Dans tous les cas, étant considéré comme un fournisseur d’accès dans ces conditions, le médecin était alors responsable des dérives réalisées à travers l’utilisation de son adresse IP.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Et si les données contenues dans le passeport vaccinal étaient à la merci des cybercriminels ?

Au Québec, des hackers ont réussi en moins de 15h à créer une application qui permettait de copier des informations personnelles présentes dans le passeport vaccinal.

En plus de cela, ces derniers ont même réussi à suivre à la trace les individus concernés par cette collecte d’informations.

Ce qui est important dans cet exploit, c’est qu’ils ont essayé de démontrer que les informations personnelles contenu dans le passeport vaccinal pour être facilement accessible par toute personne ayant les compétences nécessaires. Passeport vaccinal qui est censé être imposé d’ici le 1er septembre pour accéder à plusieurs endroits tels que les salles de gym et les restaurants.

Cet article va aussi vous intéresser : Les cybercriminels ciblent le vaccin contre le covid-19

Nous parlons ici de hackers éthiques et non de pirates informatiques.

Comme on le sait, d’ici le 1er septembre, pour accéder à un restaurant ou à une salle de gymnastique ou des lieux de spectacle, il sera exigé un passeport vaccinal accompagné de QR code fourni par le gouvernement permettant d’identifier ce qu’ils ont reçu le vaccin. Pour ce faire l’application qui devrait servir à cette utilisation a été testé par des experts en la matière. Il a été découvert alors 2 failles de sécurités importantes pour la protection des données personnelles

« C’est super facile. On peut faire ce que l’on veut avec les informations ensuite », a signalé l’un des spécialistes ayant contribué à la conception de l’application. C’est d’ailleurs un expert qui fait partie de la communauté qui regroupe en son sein plusieurs experts de la sécurité informatique, le Hackfest.

Il faut noter que les doutes au niveau de cette fameuse passe vaccinale ont été émise depuis le 12 août dernier par plusieurs députés de l’opposition. Et cela quand bien même que le premier ministre François Legault affirmer de manière certaine que le passeport vaccinal était « totalement sécuritaire ». Et à 2 semaines de son entrée en vigueur, les spécialistes mettre en doute cette affirmation si bien mordicus.

« Je ne peux pas contrefaire [un code QR], c’est vrai. Mais, il n’y a rien qui m’empêche de lire et de sauvegarder vos informations », explique le hacker. « Le problème, c’est la technologie utilisée », ajoute ce dernier. Il estime que la preuve format papier sans QR code serait beaucoup mieux.

Selon Patrick Mathieu, le responsable et fondateur du Hackfest, l’organisme qui a été mandaté par les autorités gouvernementales pour gérer cette technologie devant appuyer le passeport vaccinal, connu sous la dénomination de Akinox, n’est pas suffisamment experte en matière de sécurité informatique. « À toutes les fois qu’on fait des vérifications, on trouve des problèmes », affirme le spécialiste. Il signifie que même si la sécurité des données informatiques et assez complexe, le gouvernement québécois doit mettre en œuvre tous les moyens nécessaires pour les protéger.

Malheureusement, il semblerait que le gouvernement québécois ne compte pas prendre ses responsabilités allant dans ce sens. Une situation qui est décriée par beaucoup de spécialistes.

« Les citoyens sont responsables de la protection de leurs informations personnelles de vaccination. Pour éviter toute fraude potentielle, il est recommandé aux citoyens de garder leur preuve de vaccination pour eux, tout comme le lien unique reçu par courriel ou par texto », a signifié Marie-Louise Harvey, la porte-parole du gouvernement.

Il faut noter par ailleurs que l’application qui a été créé très facilement d’ailleurs par les hackers permet d’avoir accès à certaines données tel que les photos, mais aussi de pouvoir les enregistrer

De son côté, le ministère de la Santé et des Services sociaux à recommander aux citoyens québécois de ne pas « partager une photo de la preuve vaccinale sur les réseaux sociaux ».

Pour ce qui concerne les failles de sécurité, il faut monter qu’un commerçant par exemple peu maîtriser vos habitudes de consommation s’il détient plusieurs franchises de sa société. En effet, il peut vous suivre à la trace et savoir les endroits que vous avez fréquenté les dernières semaines ainsi que les établissements que vous avez eu à fréquenter. Des informations utiles qui peuvent être exploitées à des fins de marketing. Et même pire encore un réseau de commerçants peut partager ces informations entre eux.

La deuxième vulnérabilité permet de copier les informations personnelles juste en scannant le QR code. De la sorte la personne en face peut avoir facilement accès à votre :

– Prénom ;

– Nom de famille ;

– Sexe

– Date de naissance ;

– Nom des vaccins reçus ;

– Date et lieu de vaccination.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Données personnelles : les décisions fondées sur les données peuvent avoir un effet bénéfique sur une bonne culture d’entreprise

Aujourd’hui, l’analyse des données se présente comme essentiel pour le développement de tous nouvelles activités.

Elle ne se limite pas simplement une étude des Faits et des chiffres, c’est aussi le point de départ de nouvelles cultures au sein d’une entreprise. L’analyse des données peut faciliter les prises de décisions et garantir que certains choix soient les meilleurs du moment. En d’autres termes, elle favorise une création de culture positive vers un changement qui pourra être que bénéfique pour l’entreprise. C’est toute l’organisation y compris les collaborateurs qui profitent d’une certaine manière.

Cet article va aussi vous intéresser : Investir dans une société de cybersécurité, que faut-il analyser en amont ?

« Il est parfois difficile de déterminer, d’analyser et d’interpréter les informations pertinentes, parmi la masse de données disponibles. Surtout lorsque l’information est dispersée dans les différents silos de l’entreprise. Créer un environnement ouvert autour des données permet de dépasser ces cloisonnements. En effet, ce n’est qu’en rapprochant les informations provenant des différents départements de l’entreprise et en créant des liens entre elles que l’on peut obtenir de nouveaux insights. Des équipes transverses informelles se créent et des alliances se mettent en place. De cette façon, les données créent des liens et instillent une culture de partage. », explique Pierre Barbier, Responsable pays Tableau France. « Toutefois, cette nouvelle culture doit aller de pair avec un système de gouvernance qui définit de manière transparente la manière dont les données sont gérées et sécurisées. L’introduction de l’analyse des données s’accompagne donc souvent d’une mise à jour du concept de sécurité informatique. Une démarche dont toute l’organisation bénéficie à son tour. » ajoute ce dernier.

Concernant la transformation d’une entreprise en se fondant sur l’analyse des données, il faut signifier qu’elle commence différents niveaux. Cette transformation on varie selon la forme des organisations. Elle passe par le conseil d’administration au plus petit service fonctionnel de l’organisation. Il n’est pas rare que les spécialistes en analyse de données ont tendance à observer une forte demande de collaborateurs pour des accès destinés à analyser des données en libre-service. Une opportunité qui doit être saisi par les entreprises, car cela permettrait aux collaborateurs de se comporter de manière beaucoup plus indépendante et d’assumer leurs responsabilités, et beaucoup plus d’ailleurs. En effet, les questions de hiérarchie deviennent beaucoup plus perméables. Permettant une prise de décision démocratique. Est-ce qu’il y a un avantage d’innover les systèmes traditionnels de l’entreprise dans sa manière de fonctionner.

« La plupart des plateformes pour l’analyse des données en libre-service intègrent une interface utilisateur intuitive. Néanmoins, la formation reste une composante importante de la mise en place réussie d’une culture des données, notamment pour les employés peu familiarisés à leur utilisation ou à l’usage numérique. Avec leurs collègues, ces “novices” peuvent partager les meilleures pratiques ou participer à des concours dans lesquels ils mettent en scène de manière ludique la préparation visuelle des ensembles de données. L’analyse des données permet ainsi à l’entreprise d’accélérer sa digitalisation. Cette culture vivante des données améliore les compétences de la main-d’œuvre et favorise le transfert de connaissances. », souligne Pierre Barbier.

Quand la culture de l’analyse de données est introduite avec succès dans l’organisation de l’entreprise, elle va faciliter une planification stratégique sur le long terme. Modifiant ainsi, l’ADN même de l’entreprise. « Les structures sont réorganisées, les objectifs commerciaux sont redéfinis, des secteurs d’activité, canaux de distribution ou partenariats nouveaux s’ouvrent. L’analyse des données en temps réel permet des prévisions de plus en plus précises grâce à l’IA et à l’analyse prédictive. Dans certains secteurs, ces atouts fournissent un avantage concurrentiel décisif. L’analyse des données offre des possibilités inépuisables de poser des questions sur l’activité, la culture et l’avenir de l’entreprise en recueillant des insights sur des changements clés. C’est ainsi que la culture des données aide les organisations à façonner le changement et à innover. », conclut le spécialiste.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage