Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Été 2020, une rentrée à fond à fond à fond

26 août 2020 - 16:07,
Tribune - Cédric Cartau
Ça y est, l’été est fini et bien fini, il est temps de remettre les mocassins, les costumes et les cravates pour reprendre le cours « normal » de nos activités.

Bon, je dis « normal », mais en réalité entre la future obligation de porter le masque en entreprise, le vaccin contre le Covid-19 qui est annoncé au mieux au premier trimestre 2021 (sauf en Russie) et les attaques SI qui ont pullulé cet été, on se demande bien ce que cette fin d’année pourrait avoir de « normal ».

On commence très fort avec la société Spartoo qui s’est pris la première prune RGPD en France : 250 000 euros, beau score. La lecture de l’avis de la Cnil (ici [1]) laisse tout de même une impression bizarre. Par exemple, parmi les motifs qui ont fâché le régulateur, on lit que la société réclamait un justificatif de domicile et une copie recto de la CB, au motif de la lutte contre la fraude et les impayés – et ce qui a fâché la Cnil concerne surtout la durée de rétention de ces éléments, qui manifestement n’étaient jamais effacés par Spartoo. Je suis étonné que la Cnil n’ait tout simplement pas jugé cette collecte de documents disproportionnée : si un site marchand en ligne me demandait une copie de ma CB, je ne pourrais tout simplement pas la lui fournir du fait que je paye systématiquement avec des CB virtuelles (sans parler du fait qu’il faut vraiment être inconscient pour envoyer son numéro de CB physique sur Internet). Quant au justificatif de domicile, demander un tel document (très facile à falsifier du reste) pour acheter des godasses, euhhh, je suis le seul à en être étonné ?

Sur un autre des motifs par contre :
« Enfin, la délégation a constaté que lors de la création d’un compte par un utilisateur, sur le site Internet de la société, les mots de passe composés de six chiffres, contenant un seul type de caractère, étaient acceptés. La société a également indiqué que les mots de passe des comptes étaient conservés en base de production sous forme hachée au moyen de la fonction de hachage MD5, à l’aide d’un sel présent directement dans le champ de la base de données relatif aux mots de passe correspondants. »
Si ce n’est la longueur du mot de passe (faiblard), je ne suis pas certain que tout le monde soit propre sur lui dans le monde de la santé. Mais passons.

Côté cyber, c’est la fête : je n’ai même pas assez de place dans cet article pour lister toutes les actualités. On commence par l’attaque contre Doctolib (fuite des données d’environ 6 000 rendez-vous pris en ligne, manifestement Doctolib a été ciblé), celles contre MMA et GMF[2] (peu d’informations ont fuité, apparemment les responsables ont préféré couper une partie du SI, sage décision), une fuite de données personnelles d’automobilistes français[3], les habituelles affaires russo-américano-coréano-chinoises, etc.

Une première plutôt intéressante : on commence à voir des plateformes d’échanges de cryptomonnaies démantelées, dont certaines servent de super-blanchisseuses pour les rackets au cryptomalware : ici [4], ici [5] et ici [6]. Eh oui, les pouvoirs publics semblent redécouvrir la base de la lutte contre la criminalité : taper au porte-monnaie. Force est de constater que ceux qui prédisaient la fin des réseaux bancaires « traditionnels » (comprendre : affilés au système capitaliste tout vilain) se sont très largement fourré le doigt dans l’œil. Aujourd’hui, le principal usage des cryptomonnaies n’est pas d’aller acheter sa baguette de pain, mais de collecter et de blanchir des fonds acquis de manière plus que douteuse.

La grande question de la rentrée restera tout de même la suivante : va-t-on devoir aller physiquement tous au bureau tous les jours, ou les entreprises vont-elles comprendre que ceux qui peuvent travailler à distance n’ont pas à y mettre les pieds sauf réunion cruciale, sauf impératif de service, et ce tant que l’on n’a pas définitivement réglé la question du Covid ? Non, parce que télétravailler encore cinq ou six mois a un léger impact sur les SI et la cyber.

Ah, j’allais oublier : je vous suggère l’écoute d’un des derniers numéros de No Limit Secu [7] : un des contributeurs refait le film de Stuxnet et Flame, absolument passionnant.

Bonne rentrée.


[1] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000042203965&fastReqId=655302508&fastPos=1 

[2] https://www.lefigaro.fr/secteur/high-tech/attaques-informatiques-sur-plusieurs-entreprises-francaises-dont-mma-20200720 

[3] https://www.zataz.com/fuite-de-donnees-plus-de-250-000-francais-vendus-10e/ 

[4] https://journalducoin.com/actualites/fbi-fait-main-basse-sur-plein-de-bitcoins-site-pirate-demantele-30-millions-bitcoin/ 

[5] https://www.numerama.com/magazine/29933-bitcoins-une-plateforme-d-echanges-demantelee-en-france.html 

[6] https://www.01net.com/actualites/demantelement-d-une-enorme-lessiveuse-de-cryptomonnaies-en-ukraine-grace-a-l-ia-1965676.html 

[7] https://www.nolimitsecu.fr/attaques-sur-les-systemes-dinformation-industriels/ 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.