LeBriefdu 24 février 2021
La méga-fuite de données de santé émanerait d'un logiciel racheté par... DedalusCrédits : Toa55/iStock

CheckNews a pu authentifier et retracer l'origine des données des 500 000 patients français disponibles gratuitement sur le darknet. Elles émanent de laboratoires de biologie médicale ayant pour point commun d'avoir utilisé un logiciel baptisé Mega-Bus, désormais obsolète mais commercialisé depuis 2009 par la société Medasys, filiale de Dedalus France.

L’an passé, nous avions révélé que ce le « leader européen en matière de solutions logicielles de Santé » avait licencié, pour « fautes graves », un lanceur d'alerte qui avait prévenu les autorités sur ses problèmes de sécurité, et découvert que « n'importe qui pouvait accéder à l'extranet, depuis le web. Ce qui permettait notamment d'accéder aux tickets ouverts par les hôpitaux et laboratoires clients ».

Les données auraient été volées, entre 2015 et 2020, dans une trentaine de laboratoires d'analyse médicale du Morbihan, de l’Eure, du Loiret, des Côtes-d’Armor et dans une moindre mesure du Loir-et-Cher. 

Contactés, les labos sont unanimes : personne, du côté des autorités, ne les a mis au courant de cette fuite massive de données sensibles concernant leurs patients.

Dedalus France reconnaît la piste plausible : « Mega-Bus est une vieille solution. Si des clients l’utilisent toujours, ce doit être les derniers parce qu’elle n’est plus vendue ou maintenue. La plupart des clients de ce système sont en train de migrer ou ont déjà migré. »

Non content de contenir, dans la partie « Commentaires », des données médicales ultrasensibles (grossesse, traitements médicamenteux, pathologies voire séropositivité du patient), les données n'étaient pas chiffrées, au mépris des pratiques élémentaires cybersécurité.

L'an passé, Dedalus n'avait pas daigné répondre à nos questions portant notamment sur l'absence de responsable de la sécurité des systèmes d’information (RSSI) dans l'entreprise, préférant botter en touche, et nous accuser de « chercher à ternir l'image » du groupe.

Contactés par CheckNews, d’anciens salariés de Dedalus dénoncent encore et toujours une politique de sécurité informatique jugée trop « légère », citant des systèmes « obsolètes », comme celui de Mega-Bus, ou qui ont tardé à être mis à jour. Et toujours pas de nouvelles du RSSI.

Cdiscount condamnée à près d’un million d’euros d’amende administrative

Sur son site, la DGCCRF explique que la Direction départementale de la Protection des populations (DDPP) de la Gironde « a prononcé une amende administrative de 986 432 euros à l'encontre de la société Cdiscount […]. Pour défaut d'un récapitulatif de commande conforme concernant l'abonnement Cdiscount à Volonté ».

De son côté, l’enseigne conteste « formellement cette décision tant sur son fondement que sur son montant, l'information exhaustive tout au long du parcours d'achat étant pleinement respectée », comme le rapporte France 3. Elle affirme avoir déposé un recours devant le tribunal administratif en décembre.

Mars : Perseverance envoie son premier panorama 360°, l’« énigme » de son parachute résolue

Curiosity est un habitué de cet exercice, et Perseverance s’y met aussi : la NASA vient de mettre en ligne un panorama à 360° de la planète rouge, plus précisément de la zone d’atterrissage du rover.

« Cette perspective a été capturée par les caméras de navigation couleur du rover qui se trouvent sur la "tête" du rover », explique l’Agence spatiale américaine. Elle est aussi disponible sur YouTube.

Dans le même temps, le message caché sur le parachute était décodé. Il contient trois mots – « Dare Mighty Things » – utilisés comme devise par le JPL, rappelle The Guardians, ainsi que des coordonnées géographiques (34°11’58” N 118°10’31” W) correspondant à l’emplacement du JPL à Pasadena. 

LCL : un « bug informatique » affichait à des clients des opérations et le solde d’autres comptesCrédits : mediaphotos/iStock

C’est une situation pour le moins embarrassante pour la banque, comme elle l’explique à l’AFP : « Les personnes concernées par cet incident ont pu lire sur leur application des opérations d'un autre compte que le leur ». 

Sur Twitter, plusieurs clients témoignent en effet de leur mésaventure : « Je suis choquée. En me connectant sur mon app LCL  j’ai eu accès aux comptes de quelqu’un d’autre, une certaine Caroline, ses dépenses, tous ses comptes, son épargne avec les montants », explique Alexia Toulmet. « Sur l'application on n'a plus accès à nos comptes mais à des comptes d'autres clients », ajoute La chouette. Même chose chez Antoon, etc.

LCL se veut rassurante auprès de nos confrères : « les premiers constats » montrent que sur les 72 000 clients ayant utilisé l’application pendant ce « bug », il ne seraient « que quelques centaines » concernés. Cette faille est arrivée à « l'occasion de la mise en place d'une évolution de l'application », ajoute LCL.

« En aucun cas il n'était possible de réaliser des opérations sur les comptes dont les données étaient affichées, ni d'accéder aux informations du titulaire du compte », tient à préciser la banque.

Les clients concernés seront contactés.

La Commission européenne va investir « 10 milliards d'euros dans la transition écologique et numérique »

Elle propose de « mettre en place dix nouveaux partenariats européens entre l'Union européenne, les États membres et/ou l'industrie » afin « d'accélérer la transition vers une Europe verte, neutre pour le climat et ancrée dans l'ère du numérique, et de rendre l'industrie européenne plus résiliente et plus compétitive ». 

À ces fins, « l'UE apportera près de 10 milliards d'euros de financements que les partenaires assortiront d'un volume d'investissements au moins équivalent ». Les 10 partenariats sont détaillés ici, on y trouve notamment sur « les essais cliniques en faveur de la santé mondiale »,  les « technologies numériques clés », l'« hydrogène propre », le rail, le trafic aérien, etc. 

Au CNRS, « diagnostiquer la résistance aux antibiotiques grâce à l’intelligence artificielle »

Il s’agit d’une application mobile « capable de faciliter le diagnostic de l’antibiorésistance, enjeu majeur de santé publique », explique le CNRS. Elle a été développée par une pléiade d’acteurs (Université d’Évry, CEA, CNRS, Médecins Sans Frontières, hôpital Henri-Mondor AP-HP) coordonnés par la Fondation MSF. 

Elle « sera utilisable gratuitement partout dans le monde par les personnels de santé après sa validation clinique et l’obtention de la certification CE ». De plus amples informations et les « résultats démontrant la faisabilité technique d’une telle application » sont disponibles dans cette publication de Nature Communications.

Dropshipping : 10 000 euros d’amende pour DISINFLUENCE et son pommeau de doucheCrédits : dterminal/iStock/Thinkstock

« À la suite d’une enquête de la DGCCRF et, après accord du procureur de la République d’Angers dans le cadre d’une transaction pénale, la société DISINFLUENCE, e-vendeur en dropshipping, a accepté de payer une amende de 10 000 euros », explique la répression des fraudes.

Le principe du dropshipping – ou vente par livraison directe – est le suivant : « À chaque vente enregistrée sur son site, le vendeur commande le produit à son fournisseur qui l’expédie directement au client, le consommateur n’étant pas conscient de cette organisation ».

L’objet du délit ? La société DISINFLUENCE commercialise « un pommeau de douche filtrant et ses pierres de recharge » sur son site www.douche-spa-premium.com. « En 2019 et 2020, les investigations menées par le Service National des Enquêtes (SNE) de la DGCCRF auprès de cet opérateur ont mis en évidence des pratiques commerciales trompeuses ».

Elles consistaient « en la diffusion d’informations trompeuses sur les qualités substantielles du produit et sur les résultats attendus de son utilisation en matière d’économie d’eau et de bienfaits pour la santé. Par ailleurs, les avis présents sur le site étaient faussement présentés comme certifiés par un organisme tiers ».

Deux points trompeurs pour le consommateur sont mis en avant : 

  • Sur le prix de référence du produit qui n’avait jamais été pratiqué et ne correspondait pas au prix de marché ;
  • Sur la période de l’offre promotionnelle par l’utilisation d’un compte à rebours fictif de fin d’opération.

La DGCCRF prévient les revendeurs et les clients : « La vente par livraison directe est un mode de vente en plein développement et fait l'objet d'une attention renforcée et continue de la part des services de la DGCCRF en raison des arnaques qu’il peut susciter ».

Créer des applications Android avec Jetpack Compose : la conférence #TheAndroidShow débute à 18h

Cette « boîte à outils moderne » qui permet de développer des « interfaces utilisateur natives » aura droit à sa conférence en fin de journée. Elle dispose aussi d’un site dédié avec de nombreuses ressources techniques.

Ce n’est pas un hasard si elle se déroule quelques jours seulement après l’annonce d’Android 12 en Developper Preview, avec des changements importants pour les applications. 

Rainbow 6 Siege se prépare à gérer NVIDIA Reflex

Le constructeur a annoncé que les premiers serveurs de tests avaient été activés hier, l'API de réduction de la latence étant exploitable avec la version Vulkan du jeu.

Les gains annoncés dépendent de la carte graphique : moins elle est performante, plus l'impact sera fort. Aucune date n'a pour le moment été donnée pour une mise en ligne sur l'ensemble des serveurs publics. 

Les Mac M1 pourraient utiliser excessivement leur SSD

C’est le constat fait par certains utilisateurs : macOS Big Sur abuserait des lectures et écritures sur le SSD, au point de représenter un danger à moyen terme pour sa longévité.

Dans les cas les plus graves, 10 à 13 % du TBW (total bytes written) ont déjà été consommés, ce dernier représentant le maximum garanti d’opérations d’écriture. En clair, il s’agit de l’usure générale de la mémoire flash intégrée.

C’est d’autant plus problématique que ces puces sont soudées sur les cartes mères des Mac M1, quel que soit le modèle : MacBook Air, MacBook Pro, Mac mini. À ce rythme, certains craignent que les SSD aient atteint leur limite en moins de deux ans, là où une dizaine d’années serait en temps normal nécessaire.

Impossible pour l’instant de savoir d’où vient le problème : comportement de la puce M1 qui se servirait sans arrêt du SSD comme d’un swap ? Bug de macOS ? 

On attend désormais qu’Apple se manifeste sur le sujet. Beaucoup espèrent que le problème ne soit que logiciel, car il suffirait d’une simple mise à jour pour en être débarrassé. En fonction de la reconnaissance du souci par Apple et d’une solution, un programme de remplacement pourrait également avoir lieu.

Cybersécurité : les hôpitaux sous pression du gouvernementCrédits : BlackJack3D/iStock

À l’occasion d’un déplacement à l’hôpital de Villefranche-sur-Saône, dernière victime d’une cyberattaque, les ministres de la Santé et de la Transition numérique ont annoncé une série de mesures pour renforcer la sécurité informatique des établissements de santé. La plus symbolique – et celle qui devrait le plus faire grincer des dents, relève Acteurs Publics – n’est pas une mesure de soutien, mais plutôt de pression.

« Même si le secteur de la santé et du médico-social ne représente que 11 % des attaques, on est sur le cœur du système, qui plus est au moment d’une pandémie, et on est donc confronté à un risque vital », avait insisté Emmanuel Macron vendredi dernier, lors de la présentation d’une stratégie nationale en matière de cybersécurité dotée d'un milliard d'euros.

« Face à l’augmentation de la menace, il n’est plus possible de faire de la cybersécurité une variable d’ajustement des projets informatiques des établissements de santé », ont alerté les deux ministres dans un communiqué. Le gouvernement a dès lors décidé de n’accorder le soutien de l’État qu’aux projets informatiques des établissements de santé dont le budget informatique consacré à la cybersécurité est de l’ordre de 5 à 10 %. 

135 groupements hospitaliers français seront par ailleurs catégorisés d’ici trois mois en tant qu’« opérateurs de service essentiels ». Une catégorie élargie des « opérateurs d’importance vitale » auxquels s’appliquent des règles strictes en matière de cybersécurité, en raison du caractère critique de leurs activités pour la société ou l’économie.

En contrepartie, les établissements de santé pourront bénéficier de nouveaux coups de pouce financiers de l’État, de l'ordre d'environ 25 millions d’euros.

Facebook lance les versions 10.0 de ses API Graph et Marketing

Comme on s’en doute, les nouvelles moutures contiennent de nombreux changements notables. Parmi eux, la certification requise pour le DUC (Data Use Checkup), à compléter dans les 60 jours suivant l’accès aux API de Facebook.

On note également un serrage de vis sur la manière dont fonctionne l’API Groups, particulièrement en mode Development.  Avec ce dernier, les applications peuvent accéder aux contenus de tous les groupes, qu’ils soient publics ou prouvés. À compter du 24 mai, l’accès sera limité aux groupes dont le développeur est administrateur.

Dans le même ordre d’idée, Facebook contrôle désormais que les applications ont une procédure claire pour expliquer aux utilisateurs comment demander la suppression de leurs données. La plateforme émettra donc un avertissement si le lien est manquant, mais sans action supplémentaire. La procédure ne sera réellement obligatoire qu’à partir du 10 novembre 2022.

On trouve ensuite une foule de changements dans les conditions d’utilisation des API, des capacités supplémentaires, d’autres restreintes, les habituelles dépréciations (dont le SDK Go Live Dialog) et, nettement plus rares, des annulations partielles de dépréciations précédentes.

Sony annonce un casque VR pour la PlayStation 5, mais pas pour tout de suite

Le constructeur a confirmé qu’une nouvelle version de son casque VR était en développement, mais qu’il ne sortirait pas en 2021.

Comme on peut s’en douter, toutes les caractéristiques seront améliorées, de la résolution des écrans au contrôleur, entièrement remanié. Il se connectera à la console par un seul câble, un progrès indéniable face à l’actuel.

Aucune détail supplémentaire sur les caractéristiques techniques, le contrôleur, la date de sortie ou même le prix. Tout juste apprend-on qu’il ne faudra pas être pressé. 

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !