C'est pourquoi diable gardent ils des donnée personnelles 20 ans ?
La base dérobée comprend en effet « les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr. »
C'est pas à l'encontre du RGPD de ne pas purger les données ?
Posté par gUI (Mastodon) .
Évalué à 4 (+1/-0).
Dernière modification le 13 mars 2024 à 22:26.
J'ai pointé au chômage en 2003-2004 et plus du tout depuis. On verra bien si je fais partie ou pas des personnes impactées (ce qui serait un vrai scandale on est d'accords).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
Ce que je sais qu'on sait pas c'est l'étendue des infrastructures compromises par l'attaque.
Autrement dit, si je comprend tout bien, et que France Travail ne s'est fait "pirater" que sa "base de prod" (désigné « base active » dans le doc CNIL tel que je le comprend), qu'il y ait des dossiers inactifs depuis un bout de temps, comme plus de 10 ans par exemple, ça me parait difficile à justifier.
Si France Travail s'est fait aussi "pirater" ses serveurs d'archivage, ca semble pouvoir s'expliquer en droit, j'y connais rien mais j'invoque le code du patrimoine et l'intérêt pour « pour la documentation historique de la recherche » …
Puis là ya une petit voix dans le fond qui dit : « oui mais alors dans ce cas ça devrait pas être anonymisée au minimum? »
Posté par gUI (Mastodon) .
Évalué à 4 (+1/-0).
Dernière modification le 14 mars 2024 à 09:33.
Si France Travail s'est fait aussi "pirater" ses serveurs d'archivage
De ce que je comprends du RGPD, tu dois effacer de l'archivage également.
Une donnée qui ne te sert plus (mais vraiment plus du tout) doit être effacée, pas simplement "déplacée dans un sous-sol du bâtiment et moins accessible".
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
Comme il s’agit d’archive (pas juste de sauvegarde), il y a des contraintes juridico-légales qui vont avec. D’où le commentaire précédent.
Ceci dit, la loi indique (plus que moins j’espère) ce qui doit être conservé…
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
C'est pourquoi diable gardent ils des donnée personnelles 20 ans ?
Il me semble qu'on a besoin des périodes de chômage indemnisées pour la reconstitution de carrière pour le calcul de la retraite. Donc il faudrait pouvoir retrouver toutes les périodes en question sur toute la durée de la vie professionnelle.
Posté par gUI (Mastodon) .
Évalué à 4 (+1/-0).
Dernière modification le 14 mars 2024 à 13:04.
Puisqu'il faut justifier également des périodes d'emploi, ça justifie qu'une entreprise garde les données personnelles de ses employés pendant 40 ans (durée approximative d'une carrière) ? J'en doute fort.
Mais même si c'est le cas, alors tu gardes numéro de sécu + dates et c'est tout. Pas besoin du reste des infos (nom, prénom, téléphone, adresse…)
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
J'en doute aussi concernant une entreprise privée. Mais ça ne change rien, au final, il y a forcément un organisme (la CNAV ?) qui doit garder ces informations sur 40 ans ou plus.
Après, est-ce que la CNAV pourrait se contenter du n° de sécu et des dates, j'en sais rien.
Une personne centenaire peut partager le même numéro de sécurité sociale qu'une personne récemment née.
Cela pourrait arriver aussi si un département a beaucoup trop de naissance le même jour (je doute que ce soit déjà arrivé et si cela risque d'arriver).
Une chance sur deux (le premier chiffre pour homme/femme) que la personne qui naisse dans l'unique maternité d'une ville le 1er janvier 2024 ait eu le même numéro de sécu que celle qui naquit au même endroit 1 siècle plus tôt. Ensuite faire le calcul de proba pour toutes les villes…
Après nom / prénoms et année complète sur 4 chiffres au lieu de deux, ça va aider à différencier (pas à l'abri d'avoir deux Pierre Martin séparés d'un siècle néanmoins).
Trop de naissances par mois (la plage de temps utilisée), et c'est déjà arrivé (1991 (première année durant laquelle le problème s'est posé) dixit Wikipedia
À priori non,
Pour que le salarié candidat au départ en retraite puisse faire les vérifications nécessaires, il faut au moins conserver les informations employeurs, revenus, cotisations, etc.
Comme la base est maintenant commune avec l'Agirc/ARRCO il faut également les cotisations complémentaires.
Et croyez moi, bien que la CNAV fasse un excellent boulot, il vaut mieux vérifier :)
Ça dépends des finalités. Si il n'y a plus besoin, oui, c'est une violation de l'article 5(1)(e) du RGPD. Ensuite, c'est parfois un peu flou de définir quand est ce qu'il n'y a plus besoin, et je pense que ça dépend aussi de ce que tu as besoin.
Je ne connais pas d'affaire sur le sujet devant la CJUE ou un DPA quelconque (ça veut pas dire que ça n'existe pas, je suis pas juriste, je me contente juste de farmer du karma sur linuxfr). Le seul cas qui me vient à l'esprit, c'est Drelon c. France ( ECLI:CE:ECHR:2022:0908JUD000315316 ) qui est passé devant l'ECHR.
Comme ç'est (entre autre) une violation de l'article 8 de la convention, c'est juridiquement assez proche. L'EFS (Etablissement Francais du Sang) a été condamné pour avoir gardé des infos persos en précisant une expiration au bout de 300 ans.
La, c'est manifestement aberrant, donc ça n'indique pas vraiment comment une cour pourrait décider ce que "trop longtemps" voudrait dire en pratique.
Savoir si 20 ans, c'est trop, ça dépend du "pourquoi". Et dans la mesure ou le "pourquoi" n'a pas du être trop défini il y a des années dans un temps avant le RGPD, ça peut être compliqué.
Je suppose que vu que c'est un établissement administratif, c'est sans doute la loi française qui dit combien de temps l'info doit être gardé. Si la loi dit 20 ans, alors du point de vue du RGPD, France Travail a suivi la loi. Ensuite, ça veut pas dire que la loi en question n'est pas incorrect, mais ça devient un souci légèrement différent qui n'est plus du ressort de FT, mais de l'état.
"L’employeur doit quant à lui conserver un double des fiches de paie pendant au minimum cinq ans, éventuellement sur support informatique si les garanties de contrôle sont équivalentes à celles du support papier. De plus, l'employeur doit garantir la disponibilité au salarié de la fiche de paie émis sous forme électronique, pendant 50 ans ou jusqu’aux 75 ans du salarié."
J'imagine qu'il y a des règles semblables pour France Travail.
Pour respecter le RGPD au delà des 5 ans, l'employeur peut mettre en place un "archivage intermédiaire interne des fiches de paie" consistant à durcir les règles d'accès à ces documents. Cela peut aussi être sous-traité à moncompteactivite.gouv.fr.
Quand je vois ce qui arrive sur mon numéro poubelle ça doit être stressant pour les moins sensibilisés.
J'y vois une maigre consolation: une faible chance qu'un statisticien récupère la base et démonte les chiffres officiels en mettant en lumière le nombre d'exclus.
Posté par Xanatos .
Évalué à 3 (+1/-0).
Dernière modification le 19 mars 2024 à 13:32.
Absolument.
Pour diverses raisons je ne suis pas très consommateur de voix au téléphone.
J'ai depuis une décennie un abonnement principal à 2€ pour 2h.
Et quand j'ai commencé à en avoir besoin souscrit à des offres data sur des offres temporaires que je résiliait au bout de 11mois ; la grande époque de la data à moins de 5€/mois.
Aujourd'hui je me balade avec 2 téléphones et 2 SIM, en plus du numéro poubelle c'est l'abonnement data en partage wifi, j'y trouve un autre intérêt sur la redondance et la sectorisation par usage.
Je pense que à l'heure des e-sim tout doit pouvoir être modulable sur un seul appareil en multi e/SIM.
Ca me semble tellement facile de faire du scrapping sur ce genre de données vu que n'importe quel employé a accès aux fiches.
Quel serait la parade ? Tracer et limiter le nombre de consultations par utilisateur ?
Pas tant que ça, ça fait 1 par seconde fiche par fiche pendant un peu plus d'un an.
Il peut y avoir des pages de type listing, des exports et autres, ça peut aller très vite et ça reste très loin d'un ddos donc indétectable si ça n'est pas prévu.
Ce serait étonnant que ce soit par scrapping. Récupérer un dump de base de données utilisé pour les sauvegardes ou un export intermédiaire sur un serveur de fichier semble plus probable.
Ceci dit, si l'outil d'alerte ne surveille que ce qui vient de dehors et pas le réseau interne, ça peut totalement passer inaperçu :-/.
Une parade possible, ce serait par exemple de lever des alertes quand un événement ou une série d'événements sortent de la norme (genre Bidule consulte 200000 profils dans la même journée), ou Chouette envoie un fichier sur une IP externe inconnue, ou encore Machine insère une clé USB et fait une grosse copie. Les outils comme les SIEM1 servent à ça (Graylog, Wazuh ou ELK/SIEM par exemple), mais c'est du boulot à mettre en place et à configurer.
Certains anti-virus font aussi ce genre de travail collectif, en corrélant des comportements d'une machine à une autre. Ça permet de détecter un truc qui se balade sur un réseau.
pour résumer, un outil qui centralise et corrèle des logs de sources diverses ↩
(et des discussions que j'ai eu avec les gens en charge de ça).
Ensuite, tu as quand même la présomption que la grande majorité des gens va voir ce qui concerne leur boulot, donc assez rapidement un souci de faux positifs. Et il faut aussi voir que ça n'intéresse sans doute pas grand monde d'avoir ce genre d’accès, pas au point de payer grand chose.
Posté par freem .
Évalué à 4 (+3/-1).
Dernière modification le 14 mars 2024 à 15:50.
Ma fois, ce n'est pas nouveau que leur site est merdique, et je doute qu'en moyenne leur infra soit tellement mieux (la dernière fois que j'ai eu un rdv avec l'un des employés, j'ai eu un sacré ressenti que je ne voudrais pas savoir, de peur d'en avoir des cauchemars, on sentait la qualitay exsuder).
S'ils mettaient plus d'argent dans la technique et, soyons fous, le service lui-même au lieu de renommer (pour un nom qui m'évoque le régime de Pétain en plus… travaille, famille, patrie…) peut-être que ça ne serait pas arrivé, ou au moins avec des conséquences moins volumineuses.
Ah tiens, sur leur site:
Suite à une cyberattaque dont nous avons été victimes avec Cap emploi, des informations personnelles vous concernant sont susceptibles d'être divulguées. Vos informations bancaires ne sont pas concernées. Nous sommes désolés de cet incident et nous vous invitons à rester vigilants.
Donc, ça serait lié à un de leurs partenaires, en plus? Intéressant, je me demande combien des millions de victimes ont accepté que leurs données soient transmises à un partenaire commercial? (il va falloir que je lise plus en détail cette histoire)
L'avantage des changements de charte graphique / logo / nomenclature : ça permet de mettre en évidence le travail acharné de la direction qui justifie les primes et le salaire. Et comme en général il s'agit de poste à parachutage, ça évite de demander un réel travail, de mettre en jeu des compétences, etc, ce qui risquerait de mettre en évidence autre chose que les qualités phénoménales des paras.
Posté par freem .
Évalué à 3 (+3/-2).
Dernière modification le 30 mars 2024 à 01:38.
Sache que je perçois bien l'ironie de ton message, mais moi, ça m'énerve au plus haut point ce gâchis, que je qualifies volontiers de corruption.
Ces mêmes ordures (oui, c'est le bon mot) qui veulent réduire les droits des travailleurs licenciés ou dont le contrat n'a pas été renouvelé, sont 100 fois moins utiles à la sociétés que ceux qu'ils écrasent, et touchent mille fois plus.
Ces parasites ne méritent que mon mépris. Et, vraiment, France-travail, ça me rappelle Vichy. Il suffirait d'ajouter le culte du paternel président, et on a la totale: France, travail, patriarche, ou dit autrement: travail, famille, patrie.
J'ai peur à ma France, celle dont le fronton des mairies continue malgré tout d'afficher des valeurs auxquelles j'adhère… pour combien de temps?
# La question que je me pose...
Posté par aiolos . Évalué à 10 (+9/-0).
C'est pourquoi diable gardent ils des donnée personnelles 20 ans ?
C'est pas à l'encontre du RGPD de ne pas purger les données ?
[^] # Re: La question que je me pose...
Posté par gUI (Mastodon) . Évalué à 4 (+1/-0). Dernière modification le 13 mars 2024 à 22:26.
J'ai pointé au chômage en 2003-2004 et plus du tout depuis. On verra bien si je fais partie ou pas des personnes impactées (ce qui serait un vrai scandale on est d'accords).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: La question que je me pose...
Posté par MoM . Évalué à 2 (+2/-0).
La théorie de la conservation des données RGPD c'est là :
CNIL Guide pratique conservation des données(PDF)
Ce que je sais qu'on sait pas c'est l'étendue des infrastructures compromises par l'attaque.
Autrement dit, si je comprend tout bien, et que France Travail ne s'est fait "pirater" que sa "base de prod" (désigné « base active » dans le doc CNIL tel que je le comprend), qu'il y ait des dossiers inactifs depuis un bout de temps, comme plus de 10 ans par exemple, ça me parait difficile à justifier.
Si France Travail s'est fait aussi "pirater" ses serveurs d'archivage, ca semble pouvoir s'expliquer en droit, j'y connais rien mais j'invoque le code du patrimoine et l'intérêt pour « pour la documentation historique de la recherche » …
Puis là ya une petit voix dans le fond qui dit : « oui mais alors dans ce cas ça devrait pas être anonymisée au minimum? »
L'enquête est en cours…
[^] # Re: La question que je me pose...
Posté par gUI (Mastodon) . Évalué à 4 (+1/-0). Dernière modification le 14 mars 2024 à 09:33.
De ce que je comprends du RGPD, tu dois effacer de l'archivage également.
Une donnée qui ne te sert plus (mais vraiment plus du tout) doit être effacée, pas simplement "déplacée dans un sous-sol du bâtiment et moins accessible".
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: La question que je me pose...
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2 (+0/-0).
Comme il s’agit d’archive (pas juste de sauvegarde), il y a des contraintes juridico-légales qui vont avec. D’où le commentaire précédent.
Ceci dit, la loi indique (plus que moins j’espère) ce qui doit être conservé…
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: La question que je me pose...
Posté par Jean-Baptiste Faure . Évalué à 5 (+3/-0).
Il me semble qu'on a besoin des périodes de chômage indemnisées pour la reconstitution de carrière pour le calcul de la retraite. Donc il faudrait pouvoir retrouver toutes les périodes en question sur toute la durée de la vie professionnelle.
[^] # Re: La question que je me pose...
Posté par gUI (Mastodon) . Évalué à 4 (+1/-0). Dernière modification le 14 mars 2024 à 13:04.
Puisqu'il faut justifier également des périodes d'emploi, ça justifie qu'une entreprise garde les données personnelles de ses employés pendant 40 ans (durée approximative d'une carrière) ? J'en doute fort.
Mais même si c'est le cas, alors tu gardes numéro de sécu + dates et c'est tout. Pas besoin du reste des infos (nom, prénom, téléphone, adresse…)
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: La question que je me pose...
Posté par mahikeulbody . Évalué à 5 (+3/-0).
J'en doute aussi concernant une entreprise privée. Mais ça ne change rien, au final, il y a forcément un organisme (la CNAV ?) qui doit garder ces informations sur 40 ans ou plus.
Après, est-ce que la CNAV pourrait se contenter du n° de sécu et des dates, j'en sais rien.
[^] # Re: La question que je me pose...
Posté par freem . Évalué à 3 (+1/-0).
Non, parce que les numéros de sécu ne sont pas uniques, les collisions sont plus que possibles.
[^] # Re: La question que je me pose...
Posté par gUI (Mastodon) . Évalué à 5 (+2/-0).
Pardon ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: La question que je me pose...
Posté par Renault (site web personnel) . Évalué à 3 (+0/-0).
Une personne centenaire peut partager le même numéro de sécurité sociale qu'une personne récemment née.
Cela pourrait arriver aussi si un département a beaucoup trop de naissance le même jour (je doute que ce soit déjà arrivé et si cela risque d'arriver).
C'est improbable mais pas impossible.
[^] # Re: La question que je me pose...
Posté par BAud (site web personnel) . Évalué à 3 (+1/-0). Dernière modification le 14 mars 2024 à 16:59.
dans le même patelin ('fin la maternité qui en dépend), avoir le même n° d'ordre de naissance… comment dire, c'est assez improbable…
cf. https://www.service-public.fr/particuliers/vosdroits/F33078
[^] # Re: La question que je me pose...
Posté par Benoît Sibaud (site web personnel) . Évalué à 3 (+0/-0).
Une chance sur deux (le premier chiffre pour homme/femme) que la personne qui naisse dans l'unique maternité d'une ville le 1er janvier 2024 ait eu le même numéro de sécu que celle qui naquit au même endroit 1 siècle plus tôt. Ensuite faire le calcul de proba pour toutes les villes…
Après nom / prénoms et année complète sur 4 chiffres au lieu de deux, ça va aider à différencier (pas à l'abri d'avoir deux Pierre Martin séparés d'un siècle néanmoins).
[^] # Re: La question que je me pose...
Posté par BAud (site web personnel) . Évalué à 2 (+0/-0).
bin, non, pas une chance sur 2, il y a le n° d'ordre de naissance qui entre en ligne de compte en plus.
[^] # Re: La question que je me pose...
Posté par Benoît Sibaud (site web personnel) . Évalué à 5 (+2/-0). Dernière modification le 14 mars 2024 à 18:33.
Il y a un premier dans chaque maternité (sous réserve d'une naissance ce mois)…
PS: voir https://fr.wikipedia.org/wiki/Num%C3%A9ro_de_s%C3%A9curit%C3%A9_sociale_en_France partie "Gestion des siècles" pour voir comment le point a été traité
[^] # Re: La question que je me pose...
Posté par Benoît Sibaud (site web personnel) . Évalué à 4 (+1/-0).
Trop de naissances par mois (la plage de temps utilisée), et c'est déjà arrivé (1991 (première année durant laquelle le problème s'est posé) dixit Wikipedia
[^] # Re: La question que je me pose...
Posté par freem . Évalué à -1 (+0/-3).
Voila. Improbable n'est pas impossible, je pensais que cette notion serait plutôt maîtrisée, ici, mais à priori je me trompais.
[^] # Re: La question que je me pose...
Posté par mahikeulbody . Évalué à 3 (+1/-0).
Tu as écrit :
En bon français, "plus que possible" est assez éloigné de "improbable".
[^] # Re: La question que je me pose...
Posté par Piotr . Évalué à 2 (+2/-0).
À priori non,
Pour que le salarié candidat au départ en retraite puisse faire les vérifications nécessaires, il faut au moins conserver les informations employeurs, revenus, cotisations, etc.
Comme la base est maintenant commune avec l'Agirc/ARRCO il faut également les cotisations complémentaires.
Et croyez moi, bien que la CNAV fasse un excellent boulot, il vaut mieux vérifier :)
[^] # Re: La question que je me pose...
Posté par Misc (site web personnel) . Évalué à 4 (+1/-0).
Ça dépends des finalités. Si il n'y a plus besoin, oui, c'est une violation de l'article 5(1)(e) du RGPD. Ensuite, c'est parfois un peu flou de définir quand est ce qu'il n'y a plus besoin, et je pense que ça dépend aussi de ce que tu as besoin.
Je ne connais pas d'affaire sur le sujet devant la CJUE ou un DPA quelconque (ça veut pas dire que ça n'existe pas, je suis pas juriste, je me contente juste de farmer du karma sur linuxfr). Le seul cas qui me vient à l'esprit, c'est Drelon c. France ( ECLI:CE:ECHR:2022:0908JUD000315316 ) qui est passé devant l'ECHR.
Comme ç'est (entre autre) une violation de l'article 8 de la convention, c'est juridiquement assez proche. L'EFS (Etablissement Francais du Sang) a été condamné pour avoir gardé des infos persos en précisant une expiration au bout de 300 ans.
La, c'est manifestement aberrant, donc ça n'indique pas vraiment comment une cour pourrait décider ce que "trop longtemps" voudrait dire en pratique.
Savoir si 20 ans, c'est trop, ça dépend du "pourquoi". Et dans la mesure ou le "pourquoi" n'a pas du être trop défini il y a des années dans un temps avant le RGPD, ça peut être compliqué.
Je suppose que vu que c'est un établissement administratif, c'est sans doute la loi française qui dit combien de temps l'info doit être gardé. Si la loi dit 20 ans, alors du point de vue du RGPD, France Travail a suivi la loi. Ensuite, ça veut pas dire que la loi en question n'est pas incorrect, mais ça devient un souci légèrement différent qui n'est plus du ressort de FT, mais de l'état.
[^] # Re: La question que je me pose...
Posté par sobriquet . Évalué à 4 (+3/-0).
Selon cette page, dans le privé :
J'imagine qu'il y a des règles semblables pour France Travail.
Pour respecter le RGPD au delà des 5 ans, l'employeur peut mettre en place un "archivage intermédiaire interne des fiches de paie" consistant à durcir les règles d'accès à ces documents. Cela peut aussi être sous-traité à moncompteactivite.gouv.fr.
[^] # Re: La question que je me pose...
Posté par Xanatos . Évalué à 2 (+0/-0).
J'apprends quelque chose, sacré challenge tout de même: archiver pendant 50ans avec les changements dans la vie d'une entreprise.
Coquille ?
# Ailleurs sur le Web
Posté par jeanas . Évalué à 2 (+1/-0).
https://www.lemonde.fr/pixels/article/2024/03/13/france-travail-victime-d-une-cyberattaque-les-donnees-de-43-millions-de-personnes-menacees_6221831_4408996.html
C'est assez dément, quand même.
[^] # Re: Ailleurs sur le Web
Posté par fero14041 . Évalué à 1 (+0/-0).
SebSauvage pointe aussi l'article dédié de la CNIL.
# Firefox relay se fait attendre
Posté par Xanatos . Évalué à 10 (+8/-0).
Quand je vois ce qui arrive sur mon numéro poubelle ça doit être stressant pour les moins sensibilisés.
J'y vois une maigre consolation: une faible chance qu'un statisticien récupère la base et démonte les chiffres officiels en mettant en lumière le nombre d'exclus.
Rdv au prochain épisode.
[^] # Re: Firefox relay se fait attendre
Posté par eingousef . Évalué à 3 (+1/-0).
Petite question: c'est quoi ta solution pour avoir un numéro poubelle ?
Tu prends un 2ème abonnement mobile avec une 2ème carte SIM ? Tu as un abonnement SIP ?
*splash!*
[^] # Re: Firefox relay se fait attendre
Posté par Xanatos . Évalué à 3 (+1/-0). Dernière modification le 19 mars 2024 à 13:32.
Absolument.
Pour diverses raisons je ne suis pas très consommateur de voix au téléphone.
J'ai depuis une décennie un abonnement principal à 2€ pour 2h.
Et quand j'ai commencé à en avoir besoin souscrit à des offres data sur des offres temporaires que je résiliait au bout de 11mois ; la grande époque de la data à moins de 5€/mois.
Aujourd'hui je me balade avec 2 téléphones et 2 SIM, en plus du numéro poubelle c'est l'abonnement data en partage wifi, j'y trouve un autre intérêt sur la redondance et la sectorisation par usage.
Je pense que à l'heure des e-sim tout doit pouvoir être modulable sur un seul appareil en multi e/SIM.
# Scrapping ?
Posté par wilk . Évalué à 4 (+3/-1).
Ca me semble tellement facile de faire du scrapping sur ce genre de données vu que n'importe quel employé a accès aux fiches.
Quel serait la parade ? Tracer et limiter le nombre de consultations par utilisateur ?
[^] # Re: Scrapping ?
Posté par moulator42 . Évalué à 3 (+2/-0).
Un employé qui consulte 43 miyons d'enregistrements, ça devrait générer un trafic sérieusement louche vu du haut de l'administration système, non ?
[^] # Re: Scrapping ?
Posté par wilk . Évalué à 4 (+2/-0).
Pas tant que ça, ça fait 1 par seconde fiche par fiche pendant un peu plus d'un an.
Il peut y avoir des pages de type listing, des exports et autres, ça peut aller très vite et ça reste très loin d'un ddos donc indétectable si ça n'est pas prévu.
[^] # Re: Scrapping ?
Posté par gUI (Mastodon) . Évalué à 3 (+0/-0). Dernière modification le 14 mars 2024 à 10:10.
Mal lu, commentaire supprimé
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Scrapping ?
Posté par wilk . Évalué à 5 (+3/-0).
Es-tu confiant que ton commentaire initial ne va pas se retrouver planqué dans les archives de linuxfr ?
[^] # Re: Scrapping ?
Posté par cg . Évalué à 5 (+3/-0).
Ce serait étonnant que ce soit par scrapping. Récupérer un dump de base de données utilisé pour les sauvegardes ou un export intermédiaire sur un serveur de fichier semble plus probable.
Ceci dit, si l'outil d'alerte ne surveille que ce qui vient de dehors et pas le réseau interne, ça peut totalement passer inaperçu :-/.
Une parade possible, ce serait par exemple de lever des alertes quand un événement ou une série d'événements sortent de la norme (genre Bidule consulte 200000 profils dans la même journée), ou Chouette envoie un fichier sur une IP externe inconnue, ou encore Machine insère une clé USB et fait une grosse copie. Les outils comme les SIEM1 servent à ça (Graylog, Wazuh ou ELK/SIEM par exemple), mais c'est du boulot à mettre en place et à configurer.
Certains anti-virus font aussi ce genre de travail collectif, en corrélant des comportements d'une machine à une autre. Ça permet de détecter un truc qui se balade sur un réseau.
pour résumer, un outil qui centralise et corrèle des logs de sources diverses ↩
[^] # Re: Scrapping ?
Posté par Misc (site web personnel) . Évalué à 3 (+0/-0).
Ce que fait la police, qui enregistre tout ce qui est fait, cf https://www.lemonde.fr/societe/article/2024/03/13/au-tribunal-de-paris-la-tricoche-de-deux-policiers-qui-monnayaient-des-fichiers-confidentiels_6221733_3224.html
(et des discussions que j'ai eu avec les gens en charge de ça).
Ensuite, tu as quand même la présomption que la grande majorité des gens va voir ce qui concerne leur boulot, donc assez rapidement un souci de faux positifs. Et il faut aussi voir que ça n'intéresse sans doute pas grand monde d'avoir ce genre d’accès, pas au point de payer grand chose.
# trop occupés à changer de nom et de logo je suppose
Posté par freem . Évalué à 4 (+3/-1). Dernière modification le 14 mars 2024 à 15:50.
Ma fois, ce n'est pas nouveau que leur site est merdique, et je doute qu'en moyenne leur infra soit tellement mieux (la dernière fois que j'ai eu un rdv avec l'un des employés, j'ai eu un sacré ressenti que je ne voudrais pas savoir, de peur d'en avoir des cauchemars, on sentait la qualitay exsuder).
S'ils mettaient plus d'argent dans la technique et, soyons fous, le service lui-même au lieu de renommer (pour un nom qui m'évoque le régime de Pétain en plus… travaille, famille, patrie…) peut-être que ça ne serait pas arrivé, ou au moins avec des conséquences moins volumineuses.
Ah tiens, sur leur site:
Donc, ça serait lié à un de leurs partenaires, en plus? Intéressant, je me demande combien des millions de victimes ont accepté que leurs données soient transmises à un partenaire commercial? (il va falloir que je lise plus en détail cette histoire)
[^] # Re: trop occupés à changer de nom et de logo je suppose
Posté par Piotr . Évalué à 1 (+1/-0).
Ce n'est pas vraiment un partenaire commercial :
https://travail-emploi.gouv.fr/ministere/service-public-de-l-emploi/article/cap-emploi
[^] # Re: trop occupés à changer de nom et de logo je suppose
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 3 (+4/-3).
L'avantage des changements de charte graphique / logo / nomenclature : ça permet de mettre en évidence le travail acharné de la direction qui justifie les primes et le salaire. Et comme en général il s'agit de poste à parachutage, ça évite de demander un réel travail, de mettre en jeu des compétences, etc, ce qui risquerait de mettre en évidence autre chose que les qualités phénoménales des paras.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: trop occupés à changer de nom et de logo je suppose
Posté par freem . Évalué à 3 (+3/-2). Dernière modification le 30 mars 2024 à 01:38.
Sache que je perçois bien l'ironie de ton message, mais moi, ça m'énerve au plus haut point ce gâchis, que je qualifies volontiers de corruption.
Ces mêmes ordures (oui, c'est le bon mot) qui veulent réduire les droits des travailleurs licenciés ou dont le contrat n'a pas été renouvelé, sont 100 fois moins utiles à la sociétés que ceux qu'ils écrasent, et touchent mille fois plus.
Ces parasites ne méritent que mon mépris. Et, vraiment, France-travail, ça me rappelle Vichy. Il suffirait d'ajouter le culte du paternel président, et on a la totale: France, travail, patriarche, ou dit autrement: travail, famille, patrie.
J'ai peur à ma France, celle dont le fronton des mairies continue malgré tout d'afficher des valeurs auxquelles j'adhère… pour combien de temps?
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.