Oui et non. Le fait de pouvoir récupérer des données en quantité très supérieure à ce qui relève de l’usage normal du service par un professionnel de santé, c’est bien un manque de sécurité du service.
La sécurité d’un système doit être faite en ne se limitant pas à bloquer l’accès, mais en pensant de façon plus globale, en anticipant le cas, qui finira forcément par arriver, où un utilisateur malveillant arrivera à passer la première couche de protection.
C’est comme quand tu as des biens de valeur, tu te contentes pas de fermer la porte avec une serrure. Tu mets en plus un mur avec un portail sécurisé autour de la propriété, tu met une seconde serrure sur la porte d’entrée (blindée), et les biens les plus précieux, tu les met en plus dans un coffre-fort.
Quel navigateur n’est pas fichu d’afficher l’url d’un lien correctement ?
Perso oui, je ne clique jamais sur un lien email sans vérifier la source de celui ci.
Encore une fois, c’est l’histoire d’une formation de quelques minutes.
Sans pour cela avoir besoin de vérification de validité SSL etc… Ce sera évidement jamais fait par les utilisateurs lambdas, mais je suis persuadé que la majorité des phishing seraient caduc si les utilisateurs apprenait juste à faire attention aux liens.
Justement, certains l’affichent « trop » correctement : pour les caractères non latin, ils affichent bien le caractère non latin correspondant (ce qui est le fonctionnement « normal » en fait…), au lieu de l’encodage Punycode.
À peu près tous les navigateurs sont en fait passés par une phase où ils affichaient bien les caractères non latin, avant qu’on se rende compte que ça constituait une faille de sécurité à cause des similitudes visuelles entre certains caractères, et du coup ils sont petit à petit passés à un affichage par défaut en mode Punycode (ou des solutions un peu intelligentes, par exemple Firefox affiche nativement si tous les caractères de l’URL sont issus de la même langue, et en Punycode s’il y a un mix de plusieurs langues).
Les formations disent justement souvent de copier le lien plutôt que de cliquer dessus (parce que l’URL qui apparait dans le corps du message n’est pas forcément la même que celle vers laquelle pointe réellement le lien).
Et paf, avec une URL contenant un domaine IDNA, l’URL affichée dans le mail semble parfaitement légitime, et après copier-coller dans la barre d’adresse, on ne pense pas forcément à vérifier qu’elle est toujours la bonne (la conversion en Punycode se fait après validation de la saisie, pas au moment où on colle).
Et vraiment, il ne faut pas sous-estimer l’impact de la fatigue physique et intellectuelle… Je ne compte plus le nombre de fois où j’ai vu des mecs qui sont limite des demi-dieux dans leur domaine faire des erreurs de débutant sous l’effet de fatigue…
Aucune fuite de mots de passe, les professionnels de santé n’ont pas accès à vos mots de passe, donc ça ne sert pas à grand chose. Les pirates n’ont aucun moyen d’agir sur les données piratées, uniquement les lire, et vu la nature des données concernées, ils risque de ne pas en faire grand chose
Règle n°1 : ne JAMAIS cliquer directement dans un mail, toujours aller sur le site via une nouvelle fenêtre.
Quand on sait ça on ne se fait jamais avoir.
Alors clairement voici comment cela se passe en entreprise
La tech : On va mettre une double authentification (ou une clé U2F)
Les employés : Non mais là j’ai encore oublié ma clé, c’est chiant
Le patron : Ok, tout le monde râle sur le système d’authentification, cela fait perdre du temps à l’entreprise. Il faut enlever ça !!!
La tech :
Les pirates :
Voilà la seule raison… Bon sinon au niveau de la tech si un gas en 1 heure consulte plus de 50 dossiers, il faut peut-être aussi mettre un blocage. Ha, on me dit qu’ils ont essayé mais que l’employé a aussi râlé auprès du patron pour ce blocage …
Non, c’est plus compliqué que cela.
Parce que même si tu es formé et habitué, tu peux quand-même tomber dans le piège. Il suffit d’être un peu speed (genre, au hasard qui n’arrive jamais pour un médecin, une urgence médicale ?), fatigué, etc …
Il faudrait arrêter de croire que l’on peut être invulnérable à ce genre de manipulations.
Alors, oui, évidemment, la formation est très importante (essentielle même), mais ce n’est pas un rempart infranchissable (spoiler : En matière de cybersécurité, cela n’existe pas).
Bonjour, Neustrie. Pour le compte sur ce que j’ai lu de l’article le problème de sécurité se situe entre la chaise et le clavier, et contre ça y a rien a faire.
Désactiver la 2FA parce que les gens oublient parfois leur clé, c’est une faute du service IT. Même si le patron l’a demandé, faut lui expliquer et mettre en place des 2FA multiples. Et vraiment si il comprend pas ou refuse de financer, faut lui faire signer un papier où il accepte d’endosser toute responsabilité en cas de problème.
Regarde chez Google par exemple. Tu as au moins 3 possibilités : le générateur TOTP (que tu peux, officieusement, installer sur plusieurs appareils), l’OTP par SMS et la liste d’OTP de secours pré-générés.
Dans ma boîte, on en a encore plus. De base, on a une carte à puce PKI avec code PIN. En alternative, on a un générateur TOTP installable sur deux appareils (le PC fourni par la boîte et un smartphone), avec accès protégé par empreinte digitale ou code PIN, l’OTP par SMS et 3 contacts de secours, obligatoirement d’autres employés travaillant sur le même site, qui peuvent recevoir l’OTP à notre place et le transmettre physiquement. Et en ultime recours, on peut même aller à l’accueil du site avec une pièce d’identité et obtenir immédiatement une nouvelle carte PKI. Avec toutes ces possibilités, je pense que personne dans la boîte ne s’est jamais retrouvé vraiment bloqué…
Alors bien sûr, multiplier les moyens d’obtenir un OTP pour le 2FA réduit la sécurité par rapport à un moyen unique. Mais ça reste infiniment plus sécurisé que de désactiver complètement le 2FA.
@nicgrover Chacun son domaine… un ingénieur en informatique malgre un bon nombre d’années d’études ne fera pas un bon médecin… on peut-être un bon médecin et pas à l’aise avec l’informatique… je suis sur que plus de la moitié de la population ne sait même pas ce qu’est du phishing …
Euh non, impossible de commander la création d’une carte vitale juste avec ces données. Il faut accéder à son compte personnel avec son mot de passe, ce que les pirates n’ont pas
Non, il n’y a aucune raison de penser qu’ils aient pu accéder aux informations nécessaires pour créer de fausses cartes vitales.
Avoir le numéro de sécu d’une personne ne permet pas de créer une fausse carte vitale au nom de cette personne, il y a des certificats de sécurité qui protègent le système. Sinon ça serait un peu facile, parce que le numéro de sécu est relativement facile à trouver, en particulier pour les plus de 75 ans (les registres d’état civil deviennent publics au bout de 75 ans, et le numéro de sécu se déduit directement des registres des naissances).
J’ai peut-être lancé la pierre un peu trop vite sur ces chers médecin (quoique…) mais il est vrai qu’ils sont équipés de secrétaire alors le problème vient peut-être de ce côté du clavier…
Et dire que ces milieux ignorent tout du phishing et des virus informatiques cela me semble un peu arbitraire…
Ils ont tout qu’il faut. Et s’ils arrivent à se faire pirater une base de données pourquoi pas un certificat ?tu me parles des registres mais on s’en fout puisqu’ils ont le nom la date de naissance et le numéro de secu
Alors d’abord, non, il n’y a eu aucn « piratage » de base de données. Il y a eu piratage d’identifiants d’accès à des applications utilisées par les soignants et siphonnage de données via ces accès.
Ensuite, il n’y a absolument AUCUNE raison valable pour que les certificats de sécurité utilisés pour sécuriser les cartes Vitale soient accessibles aux soignants via ces applications. Et même, il n’y a AUCUNE raison valable pour que ces certificats soient stockés sur les serveurs hébergeant les données de ces applications.
Pour donner une analogie, dire « s’ils ont réussi à récupérer ces données, pourquoi pas un certificat », ça revient à dire "s’ils ont réussi à piquer à un employé les clés des caisses enregistreuses d’une bijouterie Cartier, pourquoi ils auraient pas aussi les clés du coffre que le patron de Cartier a dans une banque en Suisse ?
Tu imagines vraiment que ces informations suffisent à créer une fausse carte Vitale ? Si c’était le cas, n’importe qui pourrait déjà créer une fausse carte Vitale au nom de n’importe quelle personne de plus de 75 ans.
Tu n’as visiblement pas compris ce que je voulais dire en parlant des registres d’état civils rendus publics, c’est ça : à partir du moment où une personne à plus de 75 ans, on peut considérer que son nom et son numéro de sécu sont des informations publiques…
Il est donc bien évident que ces informations ne suffisent pas à créer une carte Vitale.
Il faut à minima en plus de ça la clé privée du certificat de sécurité qui sert à signer les données présentes sur la carte Vitale. Sans cette clé privée, tu ne pourras pas signer les données, et les applications qui utilisent la carte vitale rejetteront la carte, puisque la vérification de la signature échouera.
Et en termes de sécurité, les bonnes pratiques voudraient que cette clé privée ne soit stockée QUE sur les machines qui programment les cartes et que ces machines ne soient pas connectées au réseau. En tout cas, il n’y a vraiment aucun raison de les avoir recopiées sur les serveurs Ameli ou Ameli Pro.
Forcément on est pas des robots et la fatigue peut entraîner des erreurs. Mais tout de même, je pense que la majorité des erreurs sont dues à de l’inattention et/ou méconnaissance/jemenfoutisme des règles de base en sécurité informatiques et non un travail de forcené.
Si le portail de l’état permet aux professionnels de santé d’accéder aux informations confidentielles des citoyens avec juste un login password, c’est là que se trouve le problème. Quel que soit le niveau de prudence des personnes en question, si elles sont suffisamment nombreuses il est inévitable que certaines se fassent avoir par du fishing ou un troyen. Il peut même y avoir des médecins peu scrupuleux. Si ces personnes ne sont qu’une pour mille, sur 1 million de professionnel c’est déjà 1000 sources de fuites potentielles. L’Assurance Maladie doit en tenir compte et ne pas le faire est une faute. Il faut par exemple une authentification à 2 facteurs, et à mon avis il faut que le « 2ème facteur » soit détenu par l’assuré.
