Publicité en cours de chargement...

Publicité en cours de chargement...

Été 2020, une rentrée à fond à fond à fond

26 août 2020 - 16:07,
Tribune - Cédric Cartau
Ça y est, l’été est fini et bien fini, il est temps de remettre les mocassins, les costumes et les cravates pour reprendre le cours « normal » de nos activités.

Bon, je dis « normal », mais en réalité entre la future obligation de porter le masque en entreprise, le vaccin contre le Covid-19 qui est annoncé au mieux au premier trimestre 2021 (sauf en Russie) et les attaques SI qui ont pullulé cet été, on se demande bien ce que cette fin d’année pourrait avoir de « normal ».

On commence très fort avec la société Spartoo qui s’est pris la première prune RGPD en France : 250 000 euros, beau score. La lecture de l’avis de la Cnil (ici [1]) laisse tout de même une impression bizarre. Par exemple, parmi les motifs qui ont fâché le régulateur, on lit que la société réclamait un justificatif de domicile et une copie recto de la CB, au motif de la lutte contre la fraude et les impayés – et ce qui a fâché la Cnil concerne surtout la durée de rétention de ces éléments, qui manifestement n’étaient jamais effacés par Spartoo. Je suis étonné que la Cnil n’ait tout simplement pas jugé cette collecte de documents disproportionnée : si un site marchand en ligne me demandait une copie de ma CB, je ne pourrais tout simplement pas la lui fournir du fait que je paye systématiquement avec des CB virtuelles (sans parler du fait qu’il faut vraiment être inconscient pour envoyer son numéro de CB physique sur Internet). Quant au justificatif de domicile, demander un tel document (très facile à falsifier du reste) pour acheter des godasses, euhhh, je suis le seul à en être étonné ?

Sur un autre des motifs par contre :
« Enfin, la délégation a constaté que lors de la création d’un compte par un utilisateur, sur le site Internet de la société, les mots de passe composés de six chiffres, contenant un seul type de caractère, étaient acceptés. La société a également indiqué que les mots de passe des comptes étaient conservés en base de production sous forme hachée au moyen de la fonction de hachage MD5, à l’aide d’un sel présent directement dans le champ de la base de données relatif aux mots de passe correspondants. »
Si ce n’est la longueur du mot de passe (faiblard), je ne suis pas certain que tout le monde soit propre sur lui dans le monde de la santé. Mais passons.

Côté cyber, c’est la fête : je n’ai même pas assez de place dans cet article pour lister toutes les actualités. On commence par l’attaque contre Doctolib (fuite des données d’environ 6 000 rendez-vous pris en ligne, manifestement Doctolib a été ciblé), celles contre MMA et GMF[2] (peu d’informations ont fuité, apparemment les responsables ont préféré couper une partie du SI, sage décision), une fuite de données personnelles d’automobilistes français[3], les habituelles affaires russo-américano-coréano-chinoises, etc.

Une première plutôt intéressante : on commence à voir des plateformes d’échanges de cryptomonnaies démantelées, dont certaines servent de super-blanchisseuses pour les rackets au cryptomalware : ici [4], ici [5] et ici [6]. Eh oui, les pouvoirs publics semblent redécouvrir la base de la lutte contre la criminalité : taper au porte-monnaie. Force est de constater que ceux qui prédisaient la fin des réseaux bancaires « traditionnels » (comprendre : affilés au système capitaliste tout vilain) se sont très largement fourré le doigt dans l’œil. Aujourd’hui, le principal usage des cryptomonnaies n’est pas d’aller acheter sa baguette de pain, mais de collecter et de blanchir des fonds acquis de manière plus que douteuse.

La grande question de la rentrée restera tout de même la suivante : va-t-on devoir aller physiquement tous au bureau tous les jours, ou les entreprises vont-elles comprendre que ceux qui peuvent travailler à distance n’ont pas à y mettre les pieds sauf réunion cruciale, sauf impératif de service, et ce tant que l’on n’a pas définitivement réglé la question du Covid ? Non, parce que télétravailler encore cinq ou six mois a un léger impact sur les SI et la cyber.

Ah, j’allais oublier : je vous suggère l’écoute d’un des derniers numéros de No Limit Secu [7] : un des contributeurs refait le film de Stuxnet et Flame, absolument passionnant.

Bonne rentrée.


[1] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000042203965&fastReqId=655302508&fastPos=1 

[2] https://www.lefigaro.fr/secteur/high-tech/attaques-informatiques-sur-plusieurs-entreprises-francaises-dont-mma-20200720 

[3] https://www.zataz.com/fuite-de-donnees-plus-de-250-000-francais-vendus-10e/ 

[4] https://journalducoin.com/actualites/fbi-fait-main-basse-sur-plein-de-bitcoins-site-pirate-demantele-30-millions-bitcoin/ 

[5] https://www.numerama.com/magazine/29933-bitcoins-une-plateforme-d-echanges-demantelee-en-france.html 

[6] https://www.01net.com/actualites/demantelement-d-une-enorme-lessiveuse-de-cryptomonnaies-en-ukraine-grace-a-l-ia-1965676.html 

[7] https://www.nolimitsecu.fr/attaques-sur-les-systemes-dinformation-industriels/ 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration MedGPT : le premier assistant IA médical français, alternative à ChatGPT

MedGPT : le premier assistant IA médical français, alternative à ChatGPT

17 sept. 2025 - 08:48,

Actualité

- DSIH

La startup bordelaise Synapse Medicine vient de franchir une étape majeure dans le domaine de la santé numérique avec le lancement de MedGPT, un assistant conversationnel basé sur l’intelligence artificielle et conçu exclusivement pour les professionnels de santé.

Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte

15 sept. 2025 - 22:20,

Tribune

-
Cédric Cartau

Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Illustration Tour de France CaRE Domaine 2

Tour de France CaRE Domaine 2

13 sept. 2025 - 16:20,

Communiqué

- Orange Cyberdefense

La cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

Illustration CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

08 sept. 2025 - 11:50,

Tribune

-
Manon DALLEAU

Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.