Monsieur le Député… tu es tout troué !

Nos Députés ont le web dans le sang ces dernières semaines. Ils réfléchissent à la cyber surveillance du web pour lutter contre les terroristes ; ils réfléchissent à l’ouverture au public des données de la Caisse d’assurance maladie. Seulement, voici quelques cas concrets du – faites ce que je dis… pas ce que je fais –.

Nos Députés vont-ils voter la loi anti terroriste nouvelle formule ? Une nouvelle formule avec de gros bouts d’espionnage de l’Internet et de nos outils de communication. Une nouvelle formule pour notre bien parait-il. Une nouvelle formule qui ne servira à rien, du moins pour les personnes ayant la volonté de visiter des sites malfaisants. Selon le Ministre de l’Intérieur, 100% des recrutements de jeunes djihadistes se fait par Internet (source iTV).

En attendant, Marc Lefur (Côte d’Armor – [email protected]) ; Geneviève Fioraso (Isére – [email protected]) ; Arnaud Richard (Yvelines – [email protected]) ; François Asensi (Seine-Saint-Denis – [email protected]) ; Anne-Lise Dufour-Tonini (Nord – [email protected]) ; Françoise Dumas (Gard – [email protected]) ; [email protected] ; Noël Mamere (Gironde – [email protected]) ; Denis Baupin (Paris – [email protected]) ; Alain Tourret (Calvados – [email protected]) ; Jeanine Dubié (Hautes-Pyrénées – [email protected]) ; Christophe Castaner (Alpes-Haute-Provence – [email protected]) ; Gilbert Sauvan (Alpes-de-Hautes-Provence – [email protected]) ; Henri Jibrayel (Bouches-du-Rhône – [email protected]) ; Barbara Romagnan (Doubs – [email protected]) ; Frédéric Barbier (Doubs – [email protected]) – Thierry Mandon (Essonne – [email protected]) ; Carlos Da Silva (Essonne – [email protected]) ; Gilbert Le Bris (Finistére – [email protected]) ; Françoise Dumas (Gard – [email protected]) ; Carole Delga (Haute-Garonne – [email protected]) ; Patrick Vignal (Hérault – [email protected]) ; Anne-Yvonne Le Dain (Hérault – [email protected]) ; Marc Goua (Maine-et-Loire – [email protected]) ; Paola Zanetti (Moselle – [email protected]) ; Jacques Cresta (Pyrénées-Orientales – [email protected]) ; Pierre Aylagas (Pyrénées-Orientales – [email protected]) ; Ericka Bareigts (Réunion – [email protected]) ; Olivier Faure (Seine-et-Marne – [email protected]) ; Dominique Chauvel (Seine-Maritime – [email protected]) ; Elisabeth Pochon (Seine-Saint-Denis – [email protected]) ; Arnaud Richard (Yvelines – [email protected]) ;  Thierry Solère (Hauts-de-Seine – [email protected]) ; Jean-François Mancel (Oise – [email protected]) ; Véronique Louwagie (Orne – [email protected]) ; Michel Terrot (Rhône – [email protected]) ; Yves Albarello (Seine-et-Marne – [email protected]) ; Françoise Guégot (Seine-Maritime – [email protected]) ; Sylvain Berrios (Val-de-Marne – [email protected]) ; Pierre Lequiller (Yvelines – [email protected]) ; David Douillet (Yvelines – [email protected]) ; François Queville (Vosges – [email protected]) ne semblent pas s’inquiéter de l’espionnage technologique mis en place par Gmail et Google. Nos élu(e)s utilisent ce webmail américain pour leurs affaires politiques hexagonales. Quitte à utiliser un webmail, autant faire confiance à celui proposer par laposte.net comme le service de renseignement intérieur de l’armée (DPSD). A noter que les adresse ci-dessus ne viennent pas du black market, du darknet (Partie cachée et chiffrée, n’est pas obligatoirement malveillant, illicite, NDR) du deep web (si et données non référencées, comme un formulaire de site Internet, NDR) … juste de mes dix doigts et Google.

ZATAZ a constaté des données sensibles appartenant à un député français, en accès libre sur Internet.

ZATAZ a constaté des données sensibles appartenant à un député français, en accès libre sur Internet.

Ensuite, nos Députés vont réfléchir à un article, le 47, du projet de loi sur la santé. L’idée, permettre l’ouverture au public des données de la Caisse d’assurance maladie. Bilan, le milliard de feuilles de soins produites par an, en France, seront accessibles aux sociétés pour… statistiques. Des données qui seront anonymes pour nous, le grand public. Cela doit permettre de découvrir des classements de médecins, de structures médicales, d’hôpitaux et de l’utilisation de tel ou tel médicament. Pour les analystes, les informations seront beaucoup moins anonymes. Une belle mine d’or avec, en plus, les 500 millions d’actes médicaux et plus de 11 millions de dossiers traitant de séjours dans une centre hospitalier. De l’Open Data, dans le Big Data. Voilà encore une idée lumineuse. Il est promis des sécurités et des blindages solides. Sauf qu’il faut rappeler à Madame et Monsieur la/le Député que la sécurité à 100%, en informatique, cela n’existe pas. Le dernier exemple, le cas du piratage informatique du laboratoire d’analyse LABIO en est malheureusement un triste et réel exemple.

Des études récentes ont révélé que 91 % des sites de santé communiquaient les clics des visiteurs, donc traitant de santé, maladie et médicament, à des  tiers, comme Google (cf: vice). Maintenant, si nous comparons avec les données que diffusent les ordiphones (smartphone, NDR) et autres bracelets connectés sur notre santé. Dans quelques années, nous seront définitivement « nus » en mode 01001.

député 2Finissons avec le contrôle des données. Prenons l’exemple du Député C. (Je ne nomme pas encore ce Député, l’espace Internet incriminé n’est toujours pas corrigé au moment de l’écriture de cet article, NDR). Monsieur le Député possède un espace de stockage qu’il ne protège pas. Monsieur le Député pense qu’un espace Internet est très utile comme disque dur, comme espace de stockage sur lequel il sauvegarde logins et mots de passe de ses outils de communication. Bilan, il suffit d’un navigateur, d’une connexion web et de deux doigts pour trouver l’accès au Facebook, Trumblr, Youtube, Drive, Twitter du politique. Là ou cela devient complétement inconscient, l’accès à la plateforme de l’Assemblée nationale est notifié dans l’un des documents, avec les identifiants de connexion.

 L’ANSSI a été alertée. Monsieur le Député aussi. Ce dernier n’a toujours pas répondu au protocole d’alerte de zataz.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Mathieu Reply

    Bonjour.
    Oui, on collecte, on collecte, et aprés on voit que ça fuit…
    Comme professionnel du webmarketing, j’attends avec impatience les première fuites de données pour faire du big business avec du big data collecté par les big brothers !
    Comme citoyen, j’ai moins d’impatience.

    Sinon, juste un truc, le deep web n’a rien de \caché\ contrairement au marché noir ou au darknet, c’est juste la partie du web accessible par formulaire ou routine js, que les moteurs n’indexent pas encore. Aucune sombre volonté de dissimulation dans ce terme, donc, contrairement à ce que peut laisser penser le contexte ou tu l’emploies.
    En plus google vient de déposer un brevet sur l’indexation des résultats de formulaires. Comme les derniers tests montrent qu’il a intégré le rendu du javascript dans son crawler pour \lire\ absolument tout ce qu’un internaute peut atteindre en cliquant, le \deep web\ risque vite de devenir un terme vide, si ce n’est de sens, au moins de contenu.

    Mais c’est un détail.

  2. Veronique Reply

    Je ne connais rien à l’informatique, j’utilise la bureautique comme tout le monde pour mes quelques courriers perso sans importance c’est tout, donc je ne me suis pas spécialement intéressée à la façon dont quelqu’un pourrait me voler des données quelconques, par contre je trouve aberrant qu’un député qui possède des données qui peuvent être sensibles ne se soit jamais posé la question de savoir si elles étaient protégées ! Mais il faut dire que tout ces politiciens ou dirigeants d’entreprise n’ont sûrement jamais pris un seul cours d’informatique et ont appris sur le tas comme toute leur génération. Et ils pensent certainement qu’il n’est pas nécessaire de payer des informaticiens vraiment qualifiés pour faire un vrai travail de prévention pour la protection des données. Ces petites économies de bouts de chandelles et ce mépris du métier d’informaticien va sûrement leur coûter très cher un jour, c’est triste de voir leur naïveté !

  3. BRUGUIER Reply

    Bonjour
    pourriez vous conseiller un ou des fournisseurs d’adresses mail \étanches?
    Que pensez-vous de \TAILS\ ?
    Ne pourrait-on pas déposer un projet de loi permettant d’engager la responsabilité des CPAM en cas de fuites d’informations (non anonymes) ?
    Les LRE sont ujourd’hui admises par le droit et la loi pourtant les magistrats les services juridiques ou judiciaires les députés les FAI etc etc ne sont pas (ou plus) joignables par mail et encore moins par LRE ( lettre recommandée electronique.
    les sites qui comme le votre utilisent un formulaire sont
    impossibles a contacter officiellement par ce moyen
    exemple le ministère des finances ou le conseil supérieur de la magistratures ou la Chancellerie qui répondent \on a bien reçu votre message sous le numéro XXXXXXXXXXXX on va vous répondre.\
    j’attend depuis des années des réponses . et en relançant sur les numéros de courriels concernés on tourne en boucle … p&s d’autre réponse que \on va vous répondre\

    Ne pourrait-on déposer une loi si des sites comme vous exposiez le problème et receuillait les adhérents au projet pour imposer aux services de l’état l’utilisation reciproque des services du net.
    Un avocat communique avec le tribunal par dossier dématérialisé (et soit disant sécurisé)un particulier qui se défend seul ne peut pas et se voit par exemple dans le cas de dossiers gênant exposant par exemple l’appartenance de magistrats à des réseaux comme les francs-maçons répondre que l’enveloppe du Rar était vide (le Parquet) ou que votrz courrier a été reçu après le rendu de la décision dont la date n’était pas fixée ( Cour de cassation visant à statuer sur la perte d’un dossier par un Parquet).
    Ce qu’ils ne pourraient pas faire avec un dossier de type LRE.
    Merci d’avance

    • Damien Bancal Reply

      Bonjour,
      Un webmail ne sera jamais étanche pour plusieurs raisons :
      – Hébergé dans les machines d’une entreprise que vous ne connaissez pas ;
      – La justice peut réclamer à cette entreprise vos informations en cas d’actes illicites ;
      – Risque de piratage.

      Un courriel protégé est un courriel chiffré.

      Cordialement
      D.

      • RyDroid Reply

        Un webmail est juste une interface humaine et graphique pour SMTP(S) et IMAP(S)/POP(S). On peut très bien hébergé son propose webmail chez soi, avec par exemple Roundcube, Horde, SoGo et peut être bien MailPile. Il y a aussi des projets de webmail avec chiffrement, comme CaliOpen de Laurent Chelma.

  4. Pingback: ZATAZ Magazine » 4 mai : Mobilisation à 24 heures du vote sur le projet de loi Renseignement

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.