Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

Informatique

  • Bravo!

    Covid-19: une faille informatique fait fuiter les données privées de 700 000 personnes

     

    Noms, prénoms, dates de naissance, adresses, numéros de téléphone, numéros de Sécurité sociale, adresses e-mail et résultats de tests…

    La semaine dernière, à la faveur d’une faille informatique, les données personnelles de près de 700 000 personnes étaient disponibles en accès public sur FranceTest, a révélé Mediapart hier.

    Sur ce site non agréé par le ministère de la Santé, ayant vocation à transmettre les résultats des tests au coronavirus vers la plate-forme gouvernementale SI-DEP, les internautes ont pu accéder à ces informations privées grâce à “un mot de passe trouvable, en clair, dans un dossier accessible à tous“, relate à son tour l’Obs.

    Un scandale qui n’a pas manqué d’irriter Philippe Besset, président de la Fédération des syndicats pharmaceutiques de France, qui rappelle: “Cela fait des semaines et des semaines que nous alertons les autorités sur ces sociétés qui se présentent comme labellisées et facilitent la tâche des pharmaciens pour aller sur le SI-DEP“.  

    Entre le passe sanitaire qui viole allégrement le secret médical, voire même un certain nombre de libertés publiques, et l’exposition de la vie privée des personnes testées aux quatre vents sur Internet, comment ne pas se sentir épié de toutes parts en France?

    Voilà qui devrait garnir les rangs des manifestations du samedi: après les anti-passe, les anti-tests !

    Valeurs Actuelles

  • DANGER POUR NOS LIBERTES FONDAMENTALES!

    Que contient le QR code du passe sanitaire?

    Plein de choses, mais pas votre anonymat.

    Par François Jolain. - Contrepoints

    Bien que les dernières recherches montrent la perte d’efficacité du vaccin sur le variant delta, la vaccination quasi obligatoire risque de se maintenir dans le plus pur style lyssenkisme où la science doit se conformer à l’idéologie gouvernementale. Ainsi le QRCode européen se généralise.

    Il est temps de l’analyser plus en détails.

    D’où vient le QR code?

    L’histoire a sa part d’ironie. L’invention du QRCode date de 1994. Il servait à Toyota pour traquer ses pièces dans son usine. Avec l’aide du smartphone et d’une bonne dose de peur, le voilà sorti de l’usine, toujours dans le but de traquer.

    Cela pourrait faire sourire, mais ce sont d’honnêtes citoyens qui sont traqués selon leur niveau de conformité, comme de vulgaires pièces détachées.

    Le contenu du QR code européen

    Le QR code européen regorge d’informations personnelles accessibles librement par un simple scan (liste complète).

    Identité civile

    Notre identité civile est présentée en toutes lettres. Le QR code européen partage notre nom, prénom et date de naissance. Aucun semblant d’anonymat avec ce nouvel outil. On remarque le changement de mentalité de nos politiciens depuis un an.

    Les premiers outils, tel le traçage par Bluetooth, ne divulguaient rien de l’identité du porteur. De même pour le QR code disposé à l’entrée des restaurants, bars et salles de sport.

    Le gouvernement assurait :

        Aucune donnée nominative n’est collectée […] Le QR code correspond à un identifiant crypté, il ne permet de retrouver ni le nom, ni l’adresse du lieu, ni l’identité du client.

    Avec ce nouveau QR code nominatif, nous entrons un peu plus sous une surveillance à la chinoise. En fait, il ne reste plus qu’un pas: que le gouvernement rapatrie les résultats des scans sur son serveur central.

    Actuellement, le résultat du scan est juste affiché à l’écran du scanneur. Mais si lors les prochaines mises à jour, l’État décide d’envoyer le résultat sur son serveur, il sera en mesure de traquer tous ces citoyens.

    État de santé

    On pourrait croire que le passe sanitaire est un simple laissez-passer avec une date d’expiration. Mais ce n’est pas ce qu’ont voulu les technocrates européens. Ils ont préféré y placer toutes vos données de santé relatives au Covid:

        êtes-vous vacciné, testé ou guéri du covid

        date du vaccin, du test ou de la guérison

        nombres de doses reçues

        fabriquant du vaccin

        centre de vaccination

        etc.

    Ces données peuvent aisément être interprétées à votre insu. Si vous avez eu trois injections, vous êtes forcément immunodéprimé, si votre date de vaccination est ancienne, vous êtes un patient à risque.

    Accès aux données

    Les données sont écrites en clair dans le QR code sans aucun chiffrement. Ces données seront lues par les restaurants, les agents SNCF, les employeurs.

    L’État, n’oblige pas une femme à déclarer sa grossesse à son employeur, oblige maintenant toute la population à communiquer plusieurs fois par jour ses données de santé à n’importe qui.

    Pour ce manque total d’anonymat et le partage sans consentement de données médicales, La Quadrature Du Net a demandé un référé au Conseil d’État. Celui-ci l’a rejeté.

    Mais si c’est en clair, pourquoi quand je le scanne, je ne trouve rien?

    Alors oui, les données ne sont pas chiffrées mais le format est très particulier et ne peut pas être lu par une application de scan classique. Aussi pour ceux qui souhaitent regarder de plus près, je mets en ligne un site pour décoder le QR code.

    Peut-on falsifier un QR code?

    Le QR code présent sur les attestations de sortie n’avait aucune sécurité, n’importe qui pouvait créer un QR code conforme. Ceci est impossible avec le dispositif européen car il est sécurisé par une signature numérique.

    En cryptographie, on peut signer et vérifier un document. Cela permet de garantir qu’une personne ou un organisme l’a créé et que personne ne l’a modifié. L’organisme possède une clé numérique secrète pour le signer. Ensuite une autre clé publique accessible à tous permet de vérifier la signature.

    Le QR code européen utilise ce mécanisme, personne ne peut créer un QR code conforme sans avoir la clé secrète de signature. Ensuite n’importe qui peut vérifier en utilisant la clé de vérification

     

    https://greenpass.codable.tv/

  • Doctolib et la nouvelle médecine

    Quelques points à méditer :

    un commentaire

    En France, il y a un sérieux problème avec les dentistes, les médecins généralistes, les médecins spécialisés etc qui refusent de consulter de nouveaux clients-patients en dévoyant le code de la santé publique, notamment en ses articles R.4127-211 R.4127-232 L. 1110-3 alinéa 7…

    Autres repères: l’article L 110-3 du code de la santé publique (qui renvoie à l’article 225-1 du code pénal).

    Le coronavirus a de plus servi les intérêts des professionnels les moins soucieux de la santé de clients-patients. Autant de pratiques qui actent un refus de soins et des discriminations manifestes. Devant ces graves aberrations de Santé publique, il est urgent politiquement et judiciairement de s’emparer de cette situation.

    Moralité: ne vous inscrivez jamais sur cette plate-forme

     

    Source:

    Perso: mon médecin de famille part en retraite. J'appelle un de ses confrères qui accepte ma clientèle (j'ai droit au déplacement à domicile)

    Après un an environ, j'appelle pour qu'il vienne à domicile, rendez-vous pris au secrétariat. J'attends. Il ne vient pas. Je rappelle. Il va passer mais en fait, il ne vient pas. J'appelle, je rapelle, je re-re-rappelle… Il n'est jamais venu et je n'ai jamais eu d'explication.

    Je cherche un autre médecin qui se déplace. Je téléphone à 14 médecins, avant d'en trouver un. C'est le seul médecin à 50 km à la ronde qui se déplace…. il est asphyxié de rendez-vous mais il ne montre pas sa fatigue… quel courage! mais, surtout, quel humanisme!

  • Souriez, vous êtes fichés!

    ournal officiel samedi 26 décembre 2020

    Décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19

    NOR: SSAP2033349D

    ELI: https://www.legifrance.gouv.fr/eli/decret/2020/12/25/SSAP2033349D/jo/texte

    Alias: https://www.legifrance.gouv.fr/eli/decret/2020/12/25/2020-1690/jo/texte

    JORF n°0312 du 26 décembre 2020

    Texte n° 82

    Version initiale

    Publics concernés: personnes éligibles à la vaccination contre la covid-19 ; professionnels du secteur sanitaire intervenant dans la vaccination.

    Objet: création d'un traitement de données à caractère personnel ayant pour finalité la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la covid-19.

    Entrée en vigueur: le texte entre en vigueur immédiatement.

    Notice: le décret autorise le ministère des solidarités et de la santé et la Caisse nationale d'assurance maladie à mettre en œuvre le traitement dénommé " SI Vaccin Covid". Conformément aux dispositions de l'article 35 de la loi du 6 janvier 1978 modifiée, il définit les finalités du traitement, les catégories de données à caractère personnel enregistrées dans le traitement, les destinataires de ces données, les droits reconnus aux personnes concernées au titre du règlement 2016/679 du 27 avril 2016 (RGPD) ainsi que leurs modalités d'exercice.

    Références: le décret peut être consulté sur le site Légifrance (https://www.legifrance.gouv.fr).

    Le Premier ministre,

    Sur le rapport du ministre des solidarités et de la santé,

    Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

    Vu le code civil, notamment son article 1er ;

    Vu le code de la défense, notamment son article L. 4123-9-1 ;

    Vu le code de la santé publique, notamment ses articles L. 3111-1 et L. 3131-15 ;

    Vu le code de la sécurité sociale, notamment son article L. 162-5-3 ;

    Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 6, 31 et 35 ;

    Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 10 décembre 2020 ;

    Vu l'avis du conseil de la Caisse nationale de l'assurance maladie en date du 14 décembre 2020 ;

    Vu l'avis du conseil central d'administration de la Mutualité sociale agricole en date du 15 décembre 2020 ;

    Le Conseil d'Etat (section sociale) entendu,

    Vu l'urgence,

    Décrète:

    Article 1

    1. - Est autorisée la création d'un traitement automatisé de données à caractère personnel dans le cadre de la campagne de vaccination contre la covid-19, dénommé " Vaccin Covid".

    La direction générale de la santé et la Caisse nationale de l'assurance maladie sont conjointement responsables de ce traitement, qui est mis en œuvre conformément aux dispositions du e du 1. de l'article 6 du règlement (UE) du 27 avril 2016 susvisé et pour les motifs d'intérêt public mentionnés au i du 2. de l'article 9 du même règlement.

    1. - Le traitement mentionné au I a pour finalités:

    1° L'identification des personnes éligibles à la vaccination au regard des recommandations énoncées par le ministre chargé de la santé en application des dispositions de l'article L. 3111-1 du code de la santé publique, l'envoi de bons de vaccination à ces personnes, l'enregistrement des informations relatives à la consultation préalable à la vaccination et l'organisation de la vaccination de ces personnes ;

    2° Le suivi de l'approvisionnement des lieux de vaccinations en vaccins et consommables ;

    3° L'envoi à la personne vaccinée d'un récapitulatif des informations relatives à la vaccination, établi par le professionnel de santé réalisant la vaccination ou par le personnel placé sous sa responsabilité ;

     4° La mise à disposition de données permettant la présentation de l'offre de vaccination, la surveillance de la couverture vaccinale, la mesure de l'efficacité et de la sécurité vaccinales, la pharmacovigilance, le suivi statistique de la campagne de vaccination, l'appui à l'évaluation de la politique publique de vaccination et la réalisation d'études et de recherches ;

    5° La délivrance, en cas d'apparition d'un risque nouveau, de l'information prévue à l'article L. 1111-2 du code de la santé publique, aux personnes vaccinées et, le cas échéant, leur orientation vers un parcours de soins adaptés ;

    6° La prise en charge financière des actes liés à la vaccination.

    Article 2

    1. - Les catégories de données à caractère personnel et informations enregistrées dans le traitement autorisé par l'article 1er sont:

    1° Les données d'identification de la personne invitée à se faire vacciner ou vaccinée: nom, prénoms, sexe, date de naissance, lieu de naissance, numéro d'inscription au répertoire national d'identification des personnes physiques ou, le cas échéant, code d'admission au bénéfice de l'aide médicale d'Etat sous la mention immatriculation ;

    2° Le code du régime d'affiliation et de l'organisme gestionnaire assurant la prise en charge des frais de santé de la personne mentionnée au 1° ;

    3° Les coordonnées de la personne mentionnée au 1° et de son représentant légal éventuel: adresse postale, numéro de téléphone, adresse électronique ;

    4° Les références du ou des bons de vaccination délivrés à la personne ;

    5° Les données relatives à la réalisation de la vaccination: dates de la, ou des injections, informations permettant l'identification du vaccin injecté, précisions sur l'administration du vaccin, identification du ou des lieux de vaccination, identification des professionnels de santé ayant réalisé respectivement la consultation préalable à la vaccination et chaque injection ;

    6° Les données relatives à la santé de la personne mentionnée au 1°:

    1. a) Critères médicaux d'éligibilité à la vaccination et traitements suivis ;
    2. b) Informations relatives à la recherche et à l'identification de contre-indications à la vaccination;
    3. c) Effets indésirables éventuels associés à la vaccination ;

     7° Les informations sur les critères d'éligibilité non médicaux à la vaccination ;

     8° Les données d'identification des professionnels de santé, et des personnes placées sous leur responsabilité, ayant réalisé la consultation préalable et la vaccination: données d'identification, coordonnées et numéro d'identification de l'établissement ou de la structure de rattachement, de l'établissement ou de la structure de vaccination.

    1. - Les professionnels de santé ou les personnes placées sous leur responsabilité qui concourent à la vaccination sont tenus d'enregistrer sans délai les données recueillies en application du I dans le traitement autorisé par l'article 1er.

    Vacciné? vous serez fiché

    Par application du premier alinéa du I de l'article L. 4123-9-1 du code de la défense, les données énumérées au I, à l'exclusion de celles mentionnées au 2° et au 8°, ne doivent pas révéler la qualité éventuelle de militaire de la personne mentionnée au 1° du même I.

    Article 3

    1. - Sont destinataires des données enregistrées dans le traitement autorisé par l'article 1er, pour assurer les seules finalités mentionnées au II de cet article:

    1° Les professionnels de santé, ainsi que les personnes placées sous leur responsabilité, réalisant la consultation préalable et la vaccination, pour les données énumérées au I de l'article 2, à l'exclusion de celles mentionnées au a du 6° de ce I ;

    2° Le médecin traitant choisi par la personne vaccinée, conformément aux dispositions de l'article L. 162-5-3 du code de la sécurité sociale, pour les données mentionnées au 1° et, sous réserve du consentement de celle-ci, aux 5°, 6° et 8° du I de l'article 2 ;

    3° Pour les ressortissants des organismes des régimes obligatoires d'assurance maladie, les agents, spécialement habilités par le directeur de ces organismes, pour les données énumérées au I de l'article 2, à l'exclusion de celles mentionnées au 6° de ce I ;

    4° La direction du numérique des ministères chargés des affaires sociales, en tant que personne de confiance désignée par le directeur général de la santé, pour les données mentionnées au 1° et au 5° du I de l'article 2, aux seules fins de conserver celles-ci et d'en permettre l'accès aux professionnels de santé prenant en charge, en cas d'identification de risques nouveaux, l'information de la personne vaccinée dans les conditions prévues à l'article L. 1111-2 du code de la santé publique et son orientation vers un parcours de soin adapté ;

    5° La Caisse nationale d'assurance maladie, pour les données mentionnées aux 1°, 4°, 5°, 6°, et 7° du I de l'article 2, transmises par les professionnels de santé en vue de leur versement dans le dossier médical partagé de la personne vaccinée, conformément aux dispositions de l'article L. 1111-15 du code de la santé publique ;

    6° L'Agence nationale de sécurité du médicament et des produits de santé et les centres régionaux de pharmacovigilance, pour l'exercice de leur mission de pharmacovigilance, pour la partie des données mentionnées au 1° du I de l'article 2 comprenant les trois premières lettres du nom et du prénom, la date de naissance et le sexe de la personne concernée par la vaccination, ainsi que pour les données mentionnées aux 5°, 6° et 7° de ce I ;

    7° Le service public d'information en santé prévu par l'article L. 1111-1-1 du code de la santé publique, pour les seules données mentionnées aux 5° et 8° du I de l'article 2 nécessaires à sa mission de diffusion gratuite auprès du public de l'offre de soins disponible.

    1. - Sont destinataires de données ayant fait l'objet de mesures adéquates de pseudonymisation permettant d'assurer la confidentialité de l'identité des personnes, notamment par la suppression de leur nom, prénoms, numéro d'inscription au répertoire national d'identification des personnes physiques, adresse et de leurs coordonnées de contact téléphonique ou électronique:

     1° Les personnes habilitées par le directeur général de l'Agence nationale de santé publique, pour les données nécessaires au suivi de la couverture vaccinale et à la mesure de l'efficacité vaccinale ;

    2° Les personnes habilitées par les directeurs généraux des agences régionales de santé, pour les données nécessaires à l'organisation de la campagne de vaccination à l'échelon régional et à son suivi ;

    3° Les personnes habilitées par le directeur de la recherche, des études, de l'évaluation et des statistiques du ministère chargé de la santé, pour les données nécessaires à sa mission d'analyse et de diffusion des informations statistiques dans le domaine de la santé ;

    4° Le groupement d'intérêt public mentionné à l'article L. 1462-1 du code de la santé publique et la Caisse nationale de l'assurance maladie aux seules fins de faciliter l'utilisation des données de santé pour les besoins de la gestion de l'urgence sanitaire et de l'amélioration des connaissances sur le virus.

    Article 4

    Les personnes invitées à se faire vacciner reçoivent les informations prévues par les dispositions du f du 2. de l'article 14 du règlement (UE) du 27 avril 2016 susvisé en même temps que leur premier bon de vaccination.

     Les personnes ayant consenti à la vaccination et les professionnels de santé concourant à la prise en charge vaccinale reçoivent individuellement, au moment de la consultation préalable à la vaccination, les informations prévues par les dispositions des a, c et e du 1. et des a et b du 2. de l'article 13 du même règlement.

    Article 5

    1. - Les droits d'accès et de rectification, ainsi que le droit à la limitation, s'exercent auprès du directeur de l'organisme d'assurance maladie de rattachement de la personne concernée, dans les conditions prévues aux articles 15, 16 et 18 du règlement (UE) du 27 avril 2016 susvisé.

    Compte tenu des motifs d'intérêt public mentionnés au c du 3 de l'article 17 du même règlement, le droit à l'effacement ne s'applique pas au traitement autorisé par l'article 1er du présent décret.

    1. - En application de l'article 23 du règlement (UE) du 27 avril 2016 susvisé, le droit d'opposition prévu à l'article 21 du même règlement ne s'applique au traitement autorisé par l'article 1er du présent décret qu'en ce qui concerne:

    1° Le traitement des données enregistrées suite à l'identification des personnes éligibles à la vaccination par les organismes des régimes obligatoires d'assurance maladie, et uniquement jusqu'à l'enregistrement, par un professionnel de santé concourant à la prise en charge vaccinale, du consentement de la personne à la vaccination ;

    2° La transmission, telle que prévue au 4° du II de l'article 3 du présent décret, des données au groupement d'intérêt public mentionné à l'article L. 1462-1 du code de la santé publique et à la Caisse nationale de l'assurance maladie. Le droit d'opposition s'exerce auprès du directeur de l'organisme d'assurance maladie de rattachement de la personne concernée.

    Article 6

    Le ministre des solidarités et de la santé est chargé de l'exécution du présent décret, qui sera publié au Journal officiel de la République française et entrera en vigueur immédiatement.

    Fait le 25 décembre 2020.

    Jean Castex

    Par le Premier ministre:

    Le ministre des solidarités et de la santé,

    Olivier Véran

     

    Selon le décret publié, ce fichier devra permettre aux personnes vaccinées de recevoir des informations après coup "en cas d’apparition d’un risque nouveau" par exemple ou alors en cas d’effets secondaires. Ce fichier regroupera ainsi des informations concernant le patient, que ce soit son identité, sa date de naissance et des " données relatives à la réalisation du vaccin " à savoir le modèle du vaccin utilisé, le nom de la personne qui l’aura injecté ou encore son lieu.

    Vers un regroupement de deux fichiers

    Pour éviter toute polémique quant à un éventuel "fichage", une partie des données sera accessible aux soignants, à des médecins traitants et à la Caisse nationale d’assurance maladie, mais les autres professionnels de santé n’auront qu’un accès restreint, grâce à des " mesures adéquates de pseudonymisation". Une confidentialité promise notamment concernant l’identité des personnes ainsi que leurs coordonnées. Selon Le Parisien, il est également précisé que toute personne pourra faire valoir son droit à l’effacement des données personnelles si "les conditions entrent dans l’un des cas listés par le règlement européen de protection des données de la CNIL".

    Après le premier confinement, un fichier similaire avait vu le jour, cette fois-ci concernant les personnes testées. Dans " SI-Dep ", on retrouvait les informations et le résultat des tests de milliers de personnes. Toujours selon nos confrères du Parisien, le ministère envisagerait un recoupement des deux fichiers pour " permettre de vérifier l’efficacité vaccinale pour ceux qui se font tester après l’injection".

    Un fichier qui ne servira en pratique à RIEN. Les vaccins à ARN-messager n'ont une durée de protection efficace que de 6 mois (un peu comme actuellement le vaccin anti-grippal), et en plus, la souche de l'épidémie change, comme elle est en train de le faire avec le variant se développant au Royaume-Uni...Encore un acte qui ne peut satisfaire que les obsessions administratives de nos dirigeants énarco-macronien, coûteux et inutile.

     

     

     

     

    Le fichier intitulé “SI Vaccin Covid” permettra aux médecins d’avoir accès à de nombreuses informations, tout en gardant certaines mesures d’anonymat.

    A l’aube de la campagne de vaccination contre le Covid-19 qui débute en Europe ce dimanche 27 décembre, un décret paru au prévoit la mise en place d’un fichier de données regroupant de nombreuses informations concernant les personnes qui seront vaccinées en France, rapporte franceinfo. Le but affiché est " la mise en œuvre, le suivi et le pilotage des campagnes vaccinales", peut-on apprendre.

    Selon le décret publié, ce fichier devra permettre aux personnes vaccinées de recevoir des informations après coup " en cas d’apparition d’un risque nouveau " par exemple ou alors en cas d’effets secondaires. Ce fichier regroupera ainsi des informations concernant le patient, que ce soit son identité, sa date de naissance et des " données relatives à la réalisation du vaccin " à savoir le modèle du vaccin utilisé, le nom de la personne qui l’aura injecté ou encore son lieu.

    Vers un regroupement de deux fichiers

    Pour éviter toute polémique quant à un éventuel "fichage", une partie des données sera accessible aux soignants, à des médecins traitants et à la Caisse nationale d’assurance maladie, mais les autres professionnels de santé n’auront qu’un accès restreint, grâce à des "mesures adéquates de pseudonymisation". Une confidentialité promise notamment concernant l’identité des personnes ainsi que leurs coordonnées. Selon Le Parisien, il est également précisé que, toute personne pourra faire valoir son droit à l’effacement des données personnelles si "les conditions entrent dans l’un des cas listés par le règlement européen de protection des données de la CNIL".

    Après le premier confinement, un fichier similaire avait vu le jour, cette fois-ci concernant les personnes testées. Dans "SI-Dep", on retrouvait les informations et le résultat des tests de milliers de personnes. Toujours selon nos confrères du Parisien, le ministère envisagerait un recoupement des deux fichiers pour "permettre de vérifier l’efficacité vaccinale pour ceux qui se font tester après l’injection".

    Un fichier qui ne servira -en pratique- à RIEN. Les vaccins à ARN-messager n'ont une durée de protection efficace que de 6 mois (un peu comme actuellement le vaccin anti-grippal), et en plus, la souche de l'épidémie change, comme elle est en train de le faire avec le variant se développant au Royaume-Uni...Encore un acte qui ne peut satisfaire que les obsessions administratives de nos dirigeants énarco-macronien, coûteux et inutile.

    Il contiendra des informations sur la personne vaccinée (nom, prénoms, date de naissance...) et des données relatives à la réalisation de la vaccination (modèle du vaccin, lieu de vaccination, soignant ayant réalisé le vaccin...).

    Pseudonymisation dans certains cas

    Ce fichier permettra "l'envoi à la personne vaccinée d'un récapitulatif des informations relatives à la vaccination, établi par le professionnel de santé réalisant la vaccination ou par le personnel placé sous sa responsabilité", selon le décret. Les informations permettront également de contacter les personnes vaccinées "en cas d'apparition d'un risque nouveau".

  • Bon à savoir

    Les services de messagerie populaires sont extrêmement peu sûrs et compromettent vos données personnelles

    Le SMS, ça vous dit quelque chose? Chez la plupart d’entre nous, ce terme (acronyme de "Short Message System") est déjà logé dans une case mémoire lointaine, et pour cause, on ne l’utilise plus ! Depuis l’arrivée des applications de messagerie gratuite telles que WhatsApp, Telegram ou Messenger de Facebook, nous communiquons désormais uniquement via ces dernières, le bon vieux SMS étant devenu obsolète. Mais ces nouvelles façons de communiquer ne sont pas sans risque pour vos données personnelles. Récemment, des chercheurs de l’Université technique de Darmstadt et de l’Université de Würzburg, montrent que les services de messagerie mobile populaires exposent des données personnelles via des services de découverte qui permettent aux utilisateurs de trouver des contacts à partir de numéros de téléphone de leur carnet d’adresses.

    Lors de l’installation d’une application de messagerie mobile comme WhatsApp, les nouveaux utilisateurs peuvent instantanément commencer à envoyer des messages à leurs contacts existants en se basant sur les numéros de téléphone stockés sur leur appareil. Pour ce faire, les utilisateurs doivent autoriser l’application à accéder à leur carnet d’adresses et à le télécharger régulièrement sur les serveurs de l’entreprise dans le cadre d’un processus appelé "découverte de contacts mobiles". Ce processus étant, une fois autorisé, totalement invisible.

    Une étude récente menée par une équipe de chercheurs du Secure Software Systems Group de l’université de Würzburg et du Cryptography and Privacy Engineering Group de l’université technique de Darmstadt, révèle que les services de découverte de contacts actuellement déployés menacent la vie privée de milliards d’utilisateurs.

    En utilisant très peu de ressources, les chercheurs ont pu réaliser des attaques pratiques sur les services populaires WhatsApp, Signal et Telegram. Les résultats de ces expériences démontrent que des utilisateurs malveillants ou des pirates informatiques peuvent collecter des données sensibles à grande échelle et sans restrictions notables en interrogeant les services de découverte de contacts pour obtenir des numéros de téléphone aléatoires.

    Des modèles de comportement précis pour récolter des informations plus ciblées

    Pour cette étude approfondie, les chercheurs ont interrogé 10% de tous les numéros de téléphone portable américains pour WhatsApp et 100% pour Signal. Ils ont ainsi pu recueillir des données personnelles (méta) couramment stockées dans les profils d’utilisateurs d’applications de messagerie, notamment des photos de profil, des surnoms, des textes de statut et la date de la dernière connexion.

    Les données analysées révèlent également des statistiques intéressantes sur le comportement des utilisateurs. Par exemple, très peu d’utilisateurs modifient les paramètres de confidentialité par défaut, qui pour la plupart des services de messagerie ne sont pas du tout respectueux de la vie privée. Les chercheurs ont découvert qu’environ 50% des utilisateurs de WhatsApp aux États-Unis ont une photo de profil publique et 90% un texte "À propos" public. Il est intéressant de noter que 40% des utilisateurs de Signal, dont on peut supposer qu’ils sont plus soucieux du respect de la vie privée en général, utilisent également WhatsApp, et que tous les autres utilisateurs de Signal ont une photo de profil publique sur WhatsApp.

    Le suivi de ces données dans le temps permet aux attaquants de construire des modèles de comportement précis. Lorsque les données sont mises en correspondance sur les réseaux sociaux et les sources de données publiques, des tiers peuvent également établir des profils détaillés, par exemple pour escroquer les utilisateurs. Pour Telegram, les chercheurs ont découvert que son service de recherche de contacts expose des informations sensibles même sur les propriétaires de numéros de téléphone qui ne sont pas enregistrés auprès du service.

    Les informations qui sont révélées lors de la découverte des contacts et qui peuvent être collectées par des attaques par crawling dépendent du fournisseur de services et des paramètres de confidentialité de l’utilisateur. WhatsApp et Telegram, par exemple, transmettent l’intégralité du carnet d’adresses de l’utilisateur à leurs serveurs.

     

    D’autres services de messagerie plus soucieux de la protection de la vie privée, comme Signal, ne transmettent que de courtes valeurs de hachage cryptographique des numéros de téléphone ou s’appuient sur du matériel sûr. Cependant, l’équipe de recherche montre qu’avec les nouvelles stratégies d’attaque optimisées, la faible entropie des numéros de téléphone permet aux attaquants de déduire les numéros de téléphone correspondants des hachages cryptographiques en quelques millisecondes.

    De plus, comme il n’y a pas de restrictions notables pour s’inscrire à des services de messagerie, tout tiers peut créer un grand nombre de comptes pour explorer la base de données d’une application de messagerie, à la recherche d’informations en demandant des données pour des numéros de téléphone aléatoires. "Nous conseillons vivement à tous les utilisateurs d’applications de messagerie de revoir leurs paramètres de confidentialité. C’est actuellement la protection la plus efficace contre les attaques par crawl que nous avons étudiées", conviennent le professeur Alexandra Dmitrienko de l’Université de Würzburg et le professeur Thomas Schneider du TU Darmstadt.

    Les prestataires de services améliorent leurs mesures de sécurité

    L’équipe de recherche a fait part de ses conclusions aux fournisseurs de services respectifs. En conséquence, WhatsApp a amélioré ses mécanismes de protection de sorte que les attaques à grande échelle puissent être détectées, et Signal a réduit le nombre de requêtes possibles pour compliquer le crawling. Les chercheurs ont également proposé de nombreuses autres techniques d’atténuation, notamment une nouvelle méthode de découverte des contacts qui pourrait être adoptée pour réduire encore l’efficacité des attaques sans nuire à la convivialité.

    Source: Encypto