La cyber : revue d’actualité un tantinet énervée

Le tribunal administratif de Paris annule le socle de sécurité de la MSSanté publié par l’ANS au sombre motif que cette dernière ne disposerait pas de la compétence pour rendre un référentiel obligatoire. Les débats sur les MSSanté et l’Apicem qui durent depuis plus de deux décennies (vous avez bien lu) tournent à la farce, quand on sait que les solutions pour sécuriser des envois de messagerie ne sont pas légion et gravitent de toute manière autour de certificats, d’autorité de certification et de centralisation ou pas du chiffrement.

Sinon, la transformation IA des hôpitaux est inéluctable selon certains, chacun y allant de son assistant de télémédecine, de son IA d’analyse d’image, et j’en passe. Y a un truc drôle : la prochaine version d’iOS contient de l’IA non pas de façon centralisée dans l’iPhone, mais disséminée dans toutes les app, notamment Notes (qui est déjà très riche en fonctions), et va embarquer non seulement l’enregistrement sonore, mais aussi la reconnaissance IA pour transcription textuelle. Manque plus qu’une bonne app de synthèse et dans moins de six mois on va voir tous ceux qui depuis des lustres s’échinent à rédiger des CR de réunion se contenter d’activer l’enregistrement de leur iPhone. Comme pour pas mal de technos, l’IA risque de rentrer par la petite porte.

Pour la fraude bancaire, je vous suggère de lire cet arrêt de la Cour de cassation[1] selon laquelle il ne suffit pas qu’une banque dénonce la négligence de son client pour que cette seule affirmation constitue une preuve. Tant mieux pour le client qui a réussi à se faire rembourser les 1 500 euros prélevés sur son compte, mais la motivation de l’arrêt laisse pantois : si le fait de cliquer sur un lieu frauduleux, de fournir ses identifiants et mots de passe, puis de confirmer une transaction par un faux SMS n’est pas constitutif d’une négligence, alors qu’est-ce qu’une négligence ? Il ne faudrait pas qu’une (apparente) bonne nouvelle se traduise par des CGU bancaires des moyens de paiement encore plus restrictifs.

Autrement, on assiste au retour des faux mails de convocation policière pour pédopornographie, de colis Chronopost en attente et de noms de domaine OVH à renouveler. Ils arrivent par vagues, on a beau sensibiliser tout le monde, il y en a bien un ou deux qui se font avoir – dernier phénomène en vogue, des utilisateurs qui sortent volontairement (j’ai bien dit volontairement) des mails de la quarantaine et appellent ensuite la hot line pour se plaindre que ce sont des spam – authentique.

À découvrir → Cyber : le paradigme de la falsification

Mais le côté énervant, c’est que, pour la plupart, ces tentatives de phishing sont quasi les mêmes depuis des années. Le PDF de prétendue convocation de la gendarmerie n’a quasiment pas varié, et les faux mails OVH et Chronopost contiennent l’exact logo des marques concernées, un message classique de rappel et surtout un lien vers un site qui n’a rien à voir avec ladite marque.

Au Congrès du Mans édition 2024, c’était à celui des fournisseurs qui mettrait le plus d’IA dans ses présentations et ses plaquettes marketing. Mais ils ne sont même pas fichus de faire de l’OCR (avec ce qu’on leur lâche de thune tous les ans en maintenance) et d’analyser un lien vers un site sans rapport avec une marque. Il me vient deux mots à l’esprit : gueule et foutage, je vous laisse les remettre dans le bon ordre.

[1]   https://www.zataz.com/fraude-bancaire-il-ne-suffit-pas-daffirmer-une-negligence-pour-la-prouver/ 

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.