du 19 février 2019
Date

Choisir une autre édition

En Suède, 2,7 millions d'appels de santé disponibles sur un serveur ouvert

Le site Computer Sweden a lâché hier une petite bombe : 2,7 millions d’appels aux urgences médicales du pays – le 1177 Vårdguiden – étaient librement accessibles sur un serveur non protégé.

Aussi improbable que l’évènement puisse paraître, nos confrères ont pu entendre toute une sélection de ces appels, qui contiennent évidemment des informations très sensibles, sous forme de fichiers WAV.

En tout, 170 000 heures d’enregistrements étaient stockées sur un serveur ouvert auquel on pouvait se connecter sans la moindre identification. Le stockage était en clair (sans chiffrement), laissant exposées ces données critiques au premier venu. Il suffisait d’un navigateur web.

Maladies, états psychiques, détails anatomiques, historiques médicaux et personnels, alimentation et autres font partie des informations sensibles abordées. Outre le problème de la voix, déjà identifiante, une partie des fichiers comporte le numéro de téléphone de l’appelant.

Les questions les plus importantes n’ont toujours aucune réponse. On ne sait donc pas depuis combien de temps ces données étaient ainsi accessibles, qui est responsable de cette décision (ou de ce manque de décision) et, surtout, si des personnes malintentionnées ont pu les trouver.

Plusieurs signes pointeraient vers un problème avec le sous-traitant thaïlandais Medicall. Interrogé sur la brèche, son PDG Davide Nyblom nie cependant toute erreur de son côté.

L’enquête devra déterminer les responsabilités de chacun. L’ampleur de la brèche et l’absence totale de protection témoignent d’un rare degré d’incompétence. Et qui que soient les auteurs, ils devront faire face au RGPD.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

La semaine dernière, Donald Trump signait un décret bannissant Huawei et le plaçant sur liste noire. Les entreprises américaines ne peuvent ainsi plus traiter avec le Chinois sans avoir une autorisation spéciale.

Comme prévu, le Département du commerce vient d'accorder une licence temporaire de 90 jours. Elle permet aux clients de la marque de se fournir en produits déjà existants, mais pas d'en acheter de nouveaux.

Elle « donne aux opérateurs le temps nécessaire pour prendre d'autres dispositions et la latitude du département pour déterminer les mesures appropriées à long terme », explique le secrétaire du Département Wilbur Ross.

« En bref, cette licence permettra aux activités de continuer pour les utilisateurs de téléphones mobiles Huawei et les réseaux à d'accès à Internet haut débit existants », ajoute-t-il.

Enfin, le Département évaluera s'il faut prolonger la licence temporaire au-delà de 90 jours.

Copié dans le presse-papier !

Au 1er juillet prochain, les drones de 800 grammes ou plus devront théoriquement être équipés d’un dispositif de « signalement électronique ou numérique ». L’idée : permettre aux forces de l’ordre de mieux suivre leurs évolutions, à distance, par exemple pour détecter automatiquement un appareil qui s’approcherait trop d’un site sensible (tel qu’une centrale nucléaire).

Du décollage à l'atterrissage, chaque drone devra transmettre aux pouvoirs publics, éventuellement par le biais d’une application, des informations telles que sa position géographique et son altitude, sa vitesse, etc.

Dans le cadre de l’examen du projet de loi Mobilités, le député Rémy Rebeyrotte demande toutefois à ce que cette obligation ne s’applique pas aux drones « dépourvus à la fois de caméra et de pilote automatique ».

« L’intégration d’un dispositif de signalement dans des aéromodèles non conçus pour recevoir un tel dispositif est très difficile, parfois impossible, sur les modèles de faibles dimensions » se justifie l’élu LREM. Selon lui, cela s’avère même « potentiellement dangereux car la compatibilité du dispositif avec les systèmes de télécommande utilisés sur les aéromodèles ne peut être garantie d’où un risque d’interférence pouvant conduire à une perte de contrôle du modèle ».

Le parlementaire soutient également que cette « contrainte » (quand bien même elle n’est pas encore en vigueur) « décourage les nombreux aéromodélistes étrangers qui ont l’habitude de pratiquer leur loisir en France, durant les vacances et par conséquent nuit à l’attrait touristique de notre pays et aux retombées économiques qui y sont liées ».

Copié dans le presse-papier !

Déjà disponible sur Windows 10 en version Canary et Dev (lire notre prise en main), mais pas encore en bêta, les utilisateurs de Mac peuvent désormais eux aussi tenter l'expérience.

La version Canary est disponible pour macOS. Attention, il s'agit d'une version mise à jour quotidiennement et pouvant rencontrer des problèmes importants. À utiliser donc en connaissance de cause.

« Microsoft Edge pour macOS offrira la même expérience de navigation que sous Windows, avec des optimisations au niveau de l'expérience utilisateur pour que vous vous sentiez comme chez vous sur un Mac », explique l'éditeur.

Des ajustements sur les polices, les menus et les raccourcis clavier ont ainsi été mis en place. La Touch Bar des MacBook est également supportée.

Copié dans le presse-papier !

Comme l'explique TechCrunch, elle est hébergée sur Amazon Web Services et ne demandait pas le moindre mot de passe. Si nous en parlons au passé, c'est parce qu'elle n'est désormais plus en libre accès.

Nos confrères ont pu y trouver des informations de contacts provenant de comptes d'influenceurs, de célébrités et de marques. Des informations publiques comme la biographie, la photo de profil, le nombre d'abonnés et l'emplacement géographique étaient présentes, ainsi que d'autres, confidentielles, comme l'adresse email et le numéro de téléphone du propriétaire du compte.

Nos confrères ont pu identifier le propriétaire de la base de données : la société Chtrbox basée à Mumbai. Elle propose du contenu sponsorisé aux influenceurs. D'ailleurs, la base de données contenait aussi une identification de la « valeur du compte », utilisée pour déterminer le montant à payer.

TechCrunch a contacté certains comptes présents dans la liste et a pu avoir confirmation que les informations sur l'email et le numéro de téléphone étaient correctes. Ils ont par contre affirmé ne pas avoir été en contact avec Chtrbox.

De son côté, Facebook enquête afin de déterminer si les informations confidentielles proviennent bien d'Instagram ou d'une autre source. Le réseau social va également demander à Chtrbox comment il a obtenu ces informations.

Copié dans le presse-papier !

En avril de l'année dernière, cette annonce était un coup de tonnerre dans le monde des télécoms américains.Les deuxièmes et troisièmes opérateurs ne voulaient plus faire qu'un (sous le nom T-Mobile).

Le régulateur américain (FCC) s'est évidemment penché sur la question. En septembre, il s'est même accordé un délai supplémentaire après la réception de nouveaux documents.

Pour séduire les autorités, les deux protagonistes font la promesse d'un déploiement rapide de la 5G (reste à voir ce qu'ils appellent 5G…). Pour Ajit Pai, numéro un de la FCC, ces « engagements importants » sont dans l'intérêt des consommateurs. Il a donc « l'intention de recommander » à ses collègues de voter pour, comme il l'indique publiquement dans ce communiqué.

Dans les semaines à venir, Ajit Pai présentera un projet de directive allant dans ce sens.