Journal Médecin, secret médical et TeamViewer

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
37
28
oct.
2019

Hop.

Ce matin, je me rends d'un pas guilleret chez mon médecin généraliste pour une visite.

Ce médecin (comme beaucoup de médecins j'imagine) utilise un logiciel de gestion des patients avec un historique des rendez-vous, des soins, etc. Le logiciel est ouvert sur la page de mon compte où apparaissent diverses informations confidentielles.

Au cours du rendez-vous, le téléphone (du médecin) sonne.

Je comprends à ses réponses qu'il s'agit d'un service de support informatique :

La télétransmission semble se mettre en erreur, le message reste en orange. Bon je vous active TeamViewer

Et sous mes yeux ébahis, je le vois activer le partage de bureau et donner à l'interlocuteur les codes nécessaires. Son logiciel est toujours lancé et ouvert sur ma page.

Bon, rapidement, ils vont sur la page de la télétransmission où, surprise, tout est vert.

Fin de la session de support.

Je titille un peu le médecin : Heu, là, en termes de confidentialité, c'est pas top votre méthode, non ?

Il est reconnaît que effectivement, heum, oui, mais ils ont des engagements de confidentialité avec le support.

Je ne souhaite pas l'accabler, c'était plutôt l'occasion d'attirer son attention sur la problématique.

Est-ce que ça vous est déjà arrivé ? Est-ce que vous pensez que c'est légal ou ça enfreint divers réglements de protection des données de santé ?

(Je fais l'hypothèse que s'il ouvre la session TeamViewer toutes applications fermées, le support a besoin de lui pour s'identifier si ils doivent exécuter une application contenant des données sensibles, mais je ne sais pas si cette hypothèse est valide).

  • # Secret défense

    Posté par  (site web personnel) . Évalué à -7.

    Si je ne m'abuse la procédure décrite dans ce journal est validée par les plus hautes instances de la République Français pour tout ce qui concerne les secrets les plus inavouables de cette dernière ; conférer notamment les fameux contrat open-bar avec mirosoft. alors il semble que la patientèle des médecins puisse dormir sur leurs deux oreilles ; exception faite de la fraction insomniaque. Cette manière de faire est ontologiquement parfaite.

    Je sais ---->[]

    « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

  • # Je ne vois pas le problème

    Posté par  (site web personnel) . Évalué à 10.

    Est-ce que ça vous est déjà arrivé ? Est-ce que vous pensez que c'est légal ou ça enfreint divers réglements de protection des données de santé ?

    Il n'y a pas de raisons que cela soit un problème particulier. Le support informatique a besoin d'accès aux machines et aux logiciels qui contiennent ces données pour faire leur travail. Ils sont donc exposés à pouvoir obtenir indirectement des données privées.

    L'important est que ce genre d'interventions se fassent sur une période de temps utile, avec non possibilité de farfouiller inutilement dans les données personnelles dans le dos du médecin et avec accord du médecin. Cela semble être le cas ici.

    Ce n'est pas une situation idéale évidemment mais c'est difficile de garantir plus tout en ayant un support informatique.

    • [^] # Re: Je ne vois pas le problème

      Posté par  . Évalué à 10. Dernière modification le 28 octobre 2019 à 13:45.

      Autant que je sache, la société TeamViewer qui est un service cloud n'a pas pas les autorisations pour leur accorder le droit d'avoir accès à des informations médicales. Donc autant, que des prestataires agréés aient accès à ces données ne me choque pas mais qu'un entreprise de cloud au pif y ait accès est un scandale.
      Un contrat dans le domaine de la santé demande des garanties spéciales.

      • [^] # Re: Je ne vois pas le problème

        Posté par  . Évalué à 5.

        Mais le médecin n'était pas en ligne avec la compagnie TeamViewer, mais avec son support.

        C'est "juste" du cloud pour de la prise de main à distance, "peut-être" que de rien n'est stocké chez le support et chez TV.

        ça peut mériter un audit par la compagnie qui fait le support mais bon, ça n'arrivera jamais.

        • [^] # Re: Je ne vois pas le problème

          Posté par  . Évalué à 6.

          ça peut mériter un audit par la compagnie qui fait le support

          Je trouve que cela peut mériter un audit de l'outil TeamViewer.

          Mais si on n'accorde pas d'office de confiance à l'entreprise TeamViewer (entreprise allemande), il ne faut pas non plus en accorder à l'entreprise qui édite le système d'exploitation (très probablement américaine, donc obligation de collaborer avec les services secrets américains), ni à celle qui fabrique le processeur (très probablement américaine) et le chipset (très probablement américaine ou chinoise).

          Cela dit, il est probablement plus facile d'espionner via TeamViewer que via le reste.

    • [^] # Re: Je ne vois pas le problème

      Posté par  . Évalué à 1.

      Bien sûr qu'il y a un gros problème. Imagine que le service informatique lui installe en fait une backdoor, ce n'est pas le médecin qui va s’apercevoir de quoi que ce soit. Mais rassurez vous des failles de ce type (exploitable facilement par social-engeneering), il y en a partout. Surtout que le médecin, sous le stress, est très bien capable de donner tous ses mot de passe si le dépanneur insiste un peu.
      Le seul garant, c'est en sois que l'état fera un méga-process au hacker, sauf s'il est hors Europe…
      En sois le seul moyen de s'en prémunir serait qu'il y ait un service informatique à la déontologie contrôlé et que toute la chaîne de logiciel soit Open-Source, mais cela coûterait plus cher du moins a court terme.
      Pour se rassurer, le médecin reste derrière son écran et en théorie

      • [^] # Re: Je ne vois pas le problème

        Posté par  (site web personnel) . Évalué à 10.

        En sois le seul moyen de s'en prémunir serait qu'il y ait un service informatique à la déontologie contrôlé et que toute la chaîne de logiciel soit Open-Source, mais cela coûterait plus cher du moins a court terme.

        Ça ne prémuni de rien du tout. Tu peux limiter le risque mais tu feras à la fin quand même confiance au technicien qui intervient sur la machine. En fait avec ton raisonnement il n'y a aucun moyen de garantir quoique ce soit pour ce type d'intervention. Sauf à avoir une BDD gérée par l'État exclusivement et que le technicien ne peut que remplacer les terminaux qui sont sous scellés mais absolument pas y intervenir dessus.

        À un moment, il faut être réaliste, le scénario catastrophe que tu dénonces ici peut s'appliquer avec un fonctionnaire de l'État qui gère la maintenance et des logiciels libres sur toute la chaîne…

        • [^] # Re: Je ne vois pas le problème

          Posté par  . Évalué à 0. Dernière modification le 28 octobre 2019 à 17:46.

          Tu peux limiter le risque mais tu feras à la fin quand même confiance au technicien qui intervient sur la machine

          Oui mais si le technicien appartient a un service agrémenté et contrôlé, s'il a un contrôleur qui peut voir son écran pour un contrôle, bref il peux y avoir des garanti suffisantes même si le risque zéro n'existe pas. Il faut pas être parano non plus il faut juste utiliser les moyens qui sont simple et fiable a mettre en place.

          • [^] # Re: Je ne vois pas le problème

            Posté par  . Évalué à 5.

            s'il a un contrôleur qui peut voir son écran pour un contrôle […] il faut juste utiliser les moyens qui sont simple et fiable a mettre en place.

            Moyens simples : non, ce n'est pas simple. Car si tu veux que ce soit fiable il faut que le contrôleur soient d'une autre entreprise, ou de l'état.

            Et là tu as un coût qui explose car seuls 2 ou 3 entreprises auront la possibilité de mettre cela en place, et les clients (donc nous au final) vont se faire saigner.

      • [^] # Re: Je ne vois pas le problème

        Posté par  . Évalué à 10. Dernière modification le 28 octobre 2019 à 14:34.

        J'ai l'impression que vous ne savez pas trop comment fonctionne l'informatique dans les TPE (dont font partie les cabinets de médecins, neurologues, radiologues, comptables …).

        Pour la plupart ils n'y connaissent rien en informatique des que ça sort de l'utilisation des logiciels dont ils ont besoin. En gros c'est pas leur métier !
        Ils font donc le plus souvent confiance à leur prestataire, il y en a généralement un pour le logiciel métier (le cas décrit ici) et un pour tout le reste (gestion parc, périphériques, sauvegardes …).

        c'est quoi la définition d'un "service informatique à la déontologie contrôlé" ?
        On leur met quelqu'un qui a accès a tout ce qu'ils font ?
        Ah attend ! il faudrait pas contrôler sa déontologie à celui la aussi ?

        • [^] # Re: Je ne vois pas le problème

          Posté par  . Évalué à 5. Dernière modification le 29 octobre 2019 à 21:11.

          c'est quoi la définition d'un "service informatique à la déontologie contrôlé" ?

          La faculté de ne pas divulguer les informations inévitablement récupérées dans le cadre de mon travail m’est depuis longtemps apparue comme le fondement de la déontologie de mon métier.

          Comme il y a le secret médical il y a pour moi le « secret informatique ». Sinon on est juste une merde gluante.

          Heureusement pour moi je n’ai jamais eu de cas de conscience, du genre tomber sur des photos de meurtre d’enfant ou ce genre de truc…

          • [^] # Re: Je ne vois pas le problème

            Posté par  . Évalué à 1.

            Je suis tout à fait d'accord avec toi (c'est mon métier également).
            C'est plus sur le "contrôlé" que la question était tournée, je ne vois pas comment on peut contrôler ce genre de travail.

  • # C'est mieux que dans les hôpitaux

    Posté par  (site web personnel) . Évalué à 10.

    Au moins le PC n'est pas en accès libre avec le mot de passe sur un post it.

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

    • [^] # Re: C'est mieux que dans les hôpitaux

      Posté par  . Évalué à 10.

      Pas dans un hopital mais dans un laboratoire d'analyses (privé donc) : sur le panneau juste à côté de la gentille dame à l'accueil(et caisse), il y avait les URL et identifiants de leur solution SaaS de Gestion Électronique de Documents.
      De plus elle avait visiblement plusieurs comptes différents car il y avait plusieurs post-its, chacun avec user/password écrit dessus. Cette personne est à la caisse. L'endroit où des dizaines de gens défilent chaque jour et restent assis avec, sous les yeux, les identifiants permettant d'accéder aux factures et/ou comptes rendus des prélèvements sanguins/vaginaux/etc… des patients. Je lui ai gentillement fait remarquer que c'était très dangereux, elle a souri puis m'a dit "c'est vrai, je vais les déplacer".

      Sinon j'ai aussi découvert que ma secrétaire administrative (freelance) écrivait les mots de passe de tous ses clients (99% de TPE) sur un grand calendrier juste sous son clavier. Quand je lui ai dit d'arrêter tout de suite et d'installer un gestionnaire de mot de passe, elle m'a répondu qu'elle écrivait les mots de passe sans les identifiants et qu'en plus comme c'est écrit dans tous les sens, y'a qu'elle qui peut s'y retrouver.

      Un autre client qui écrit tous les mots de passe de l'entreprise (~50 salariés) dans le Wiki de l'entreprise. Donc accessible à tout le monde. Il y a les comptes réseaux sociaux, certains comptes de messagerie, les identifiants du site des imôts et… l'accès aux comptes en banque ! En fait la seule protection c'est qu'il faut connaître l'URL de la page.

      Et je ne parle même pas des mots de passe du style prénom+année, ils sont partout, chez tout le monde. En fait soyons clairs : il n'y a que les informaticiens qui se préoccupent de sécurité informatique. À quelques exceptions près, tous les autres font exactement ce qu'on dit de ne pas faire. Ils vont au plus simple juste pour que l'outil fonctionne sans les emmerder.

      • [^] # Re: C'est mieux que dans les hôpitaux

        Posté par  (site web personnel, Mastodon) . Évalué à 10.

        En même temps quand on demande des mots de passe tellement compliqués pour la « sécurité » qu'il faut les noter pour sʼen souvenir, ça ne mʼétonne pas.

        « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

        • [^] # Re: C'est mieux que dans les hôpitaux

          Posté par  (site web personnel) . Évalué à 9.

          Répétons la grande leçon de la petite BD XKCD : c'est tout l'intérêt des mots de passe absurdes et longs : quelques mots aléatoires pour former une phrase si absurde qu'on la retient tout de suite, et le mot de passe est assez long pour être très solide.
          Par exemple L'écran ronfle en page 34. malgré 26 caractères et pas mal de "signes cabalistiques" est facile à retenir et vite tapé.

          "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

          • [^] # Re: C'est mieux que dans les hôpitaux

            Posté par  (site web personnel) . Évalué à 10.

            Ah tiens bonne idée de mot de passe ça, j'adopte.

          • [^] # Re: C'est mieux que dans les hôpitaux

            Posté par  . Évalué à 10.

            votre mots de passe contient plus de 8 caractère et ne doit pas contenir d'espace.
            merci au revoir !

            • [^] # Re: C'est mieux que dans les hôpitaux

              Posté par  (site web personnel) . Évalué à 2.

              L'écran répond en page 34

              selon que l'on veut faire simple ou "robuste", les variations peuvent faire 6 à 8 caractères : on ne prend que les initiales, on prend tous les chiffres … À chacun d'adapter selon sa manière de retenir.

              merci au revoir.

              • [^] # Re: C'est mieux que dans les hôpitaux

                Posté par  . Évalué à 10.

                Ta méthode te paraît simple parce que tu es sensibilisé. Mais si je la donne à mon entourage, ça va se finir en "L'érep3" comme mot de passe sur absolument tous les comptes. Parce que nous avons beaucoup trop de mots de passe à gérer pour pouvoir tous les retenir. Si tu rajoutes ceux des comptes de ton entreprises c'est inhumain.

                À l'heure actuelle je pense que la seule méthode sécurisée et utilisable c'est gestionnaire de mot de passe + authentification 2 facteurs. Mais… ce n'est malheureusement pas possible à intégrer partout.

                Un autre client en a une pas mauvaise : il frappe ses mains au hasard sur le clavier quand il faut remplir le champ mot de passe. Et quand il lui faut se connecter, il passe systématiquement par "mot de passe oublié" pour obtenir un lien par email (et remettre un nouveau mot de passe qu'il n'essaiera pas de retenir).

                • [^] # Re: C'est mieux que dans les hôpitaux

                  Posté par  (site web personnel, Mastodon) . Évalué à 3.

                  Un autre client en a une pas mauvaise : il frappe ses mains au hasard sur le clavier quand il faut remplir le champ mot de passe. Et quand il lui faut se connecter, il passe systématiquement par "mot de passe oublié" pour obtenir un lien par email (et remettre un nouveau mot de passe qu'il n'essaiera pas de retenir).

                  Sans aller jusqu'à écrire au pif, effectivement, il y a des sites où je passe systématiquement par le mot de passe oublié. Mais ce n'est pas utilisable pour des connexions à des sessions d'ordinateur ni à des sites qu'on utilise tout le temps. Par contre pour les sites genres banques, quand c'est possible, c'est de la balle.

                  « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

                • [^] # Re: C'est mieux que dans les hôpitaux

                  Posté par  . Évalué à 1.

                  Il y a beaucoup de sites sur lesquel je fais ça aussi. Ça a pas mal d'avantages : un mot de passe robuste, avec peu de chance de réutilisation et je n'ai pas à le retenir ou le rentrer dans un géstionaire de mot de passe. À vrai dire, je ne comprends pas qu'il n'y ait pas plus de site qui proposent une solution d'otp mail, comme Slack et leur "magic link".

                  • [^] # Re: C'est mieux que dans les hôpitaux

                    Posté par  (Mastodon) . Évalué à 4.

                    Autant je suis pour le double-facteur, autant le magic link à usage unique je ne suis pas mega pour. Ou alors magic link + sms ou totp.

                    Tu te fais pwner ton mail, tu te fais tout pwner. Bof bof.

                    Par contre avec le double-facteur faut clairement penser aux procédure des récupération, par exemple quand tu changes de pays et de numéro de mobile. J'ai récemment changé de mobile avec un chevauchement de seulement 1 mois où j'avais encore les deux numéros et j'ai du en gros passer sur tous les comptes enregistrés dans mon password manager pour vérifier ceux qui faisaient du double-facteur et modifier mon numéro.

                    Bon quand tu passes d'un pays de l'UE à l'UE autant garder son abonnement et numéro de mobile mais quand tu viens ou pars ailleurs t'es obligé de changer pour ne pas te faire défoncer avec des frais de roaming.

                    Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

                    • [^] # Re: C'est mieux que dans les hôpitaux

                      Posté par  . Évalué à 4. Dernière modification le 31 octobre 2019 à 03:51.

                      Par contre avec le double-facteur faut clairement penser aux procédure des récupération, par exemple quand tu changes de pays et de numéro de mobile.

                      J'ai fait bien mieux:
                      -Arrivé en Chine en 2006 avec une adresse Yahoo Mail
                      -Suite à problème de perfs sur l'adresse Yahoo, j'en fais une autre (GMail, oui, je sais, ne tapez pas)
                      -Je déménage à Singapour
                      -Je déménage à nouveau en Chine
                      -Je déménage au Canada
                      -Je fais ce que j'aurais dû faire depuis longtemps: démarrage d'un serveur perso
                      -fermeture définitive du vieux compte hotmail qui trainait
                      -fermeture définitive du vieux compte Yahoo… ah ben non, je ne me souviens plus du mot de passe… attends voir…
                      Pour le récupérer, plusieurs options:
                      --voulez-vous utiliser votre numéro de téléphone? oups, celui que j'ai pris en Chine en 2006… au mieux, il n'existe plus, au pire… il est maintenant à quelqu'un d'autre!
                      --sinon, on peut envoyer un email à l'adresse de secours: ah ben non, c'est celle de hotmail! je viens de la fermer définitivement!
                      --aucune autre solution!

                      J'ai donc toujours un compte fantôme qui attend (peut-être??) de se faire pirater vu que je ne peux même plus vérifier ce qui s'y passe!!
                      J'ai déjà tenté de jouer au bourrin et de le faire bloquer à force d'entrer un faux mot de passe, mais… non, on ne peut pas juste faire ça!

                    • [^] # Re: C'est mieux que dans les hôpitaux

                      Posté par  . Évalué à 0.

                      Tu te fais pwner ton mail, tu te fais tout pwner. Bof bof.

                      Ben aujourd'hui, avec les mails de récupération, tu te fais pwner ton mail, tu te fais tout pwner. Bof bof… En clair, ça ne change rien à la situation actuelle. Et dans les deux cas tu peux compléter avec un 2FA.

          • [^] # Re: C'est mieux que dans les hôpitaux

            Posté par  (site web personnel) . Évalué à 4.

            Avec quand même la limite qu'il reste pas mal de systèmes de mots de passes qui ne regardent que les 8 premiers caractères, et quand on tombe sur un système comme ça (sans forcément s'en rendre compte), c'est le drame.

          • [^] # Re: C'est mieux que dans les hôpitaux

            Posté par  . Évalué à 1.

            Ouais enfin, ledit XKCD fait l'affaire pour la blague, mais en réalité l'exemple (et la méthode) en question ne fait pas du tout 44 bits d'entropie, mais (nombre de mots du dictionnaire)4, ce qui est déjà beaucoup moins !

            On me répondra que le cracker ignore qu'on a généré le mot de passe de cette manière et doit forcément faire du bruteforce classique. Sauf que dans la vraie vie les crackers de mots de passe ne se contentent pas de faire du bruteforce "idiot" mais commencent pas essayer des combinaisons de mots du dictionnaire ! (En tout cas John The Ripper le faisait déjà il y a 20 ans)

            • [^] # Re: C'est mieux que dans les hôpitaux

              Posté par  (site web personnel) . Évalué à 6. Dernière modification le 29 octobre 2019 à 23:24.

              Ben non, (nombre de mots du dictionnaire) puissance 4, ça fait au contraire beaucoup plus.

              Le français usuel fait 30 000 mots mais un bon dico en contient 100 000 auxquels il faut ajouter les conjugaisons des verbes. Or les conjugaisons suffisent déjà pour dépasser les 44 bits d'entropie :
              (8000 verbes x 8 personnes x 17 temps)4 = 1,4 x 1024
              Les mots du dico sans les conjugaisons, les pluriels et les pronoms c'est 1020.
              44 bits d'entropie c'est 244 = 1,8 x 1013

              "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

              • [^] # Re: C'est mieux que dans les hôpitaux

                Posté par  . Évalué à 10. Dernière modification le 29 octobre 2019 à 01:27.

                Si à ça tu ajoutes l'entropie créée par le piteux niveau d'orthographe dont sont affublés certains, tu as au moins 64bits d'entropie à la fin!!

                -----------> [ ]

              • [^] # Re: C'est mieux que dans les hôpitaux

                Posté par  (site web personnel) . Évalué à 2. Dernière modification le 30 octobre 2019 à 10:11.

                Le français usuel fait 30 000 mots

                Et la méthode xkcd suppose 11 bit d'entropie par mot, donc un choix (uniforme) parmi 2^{11} = 2048 mots, donc encore bien moins que ça.

                • [^] # Re: C'est mieux que dans les hôpitaux

                  Posté par  (site web personnel) . Évalué à 2. Dernière modification le 30 octobre 2019 à 13:38.

                  Oui il a probablement compté les mots usuels anglais de 4 à 6 caractères. On tombe bien sur 44 bits d'entropie.
                  Mais il donne seulement un exemple, pas une méthode générale. Rien n'empêche d'utiliser une plus grande variété de longueurs de mots, en deux langues, avec accents, majuscules, signes de ponctuation, prénoms, pluriels, onomatopées, chiffres, … Comme dans « arbre l'artiste calculait Hélène, visiblement ».

                  "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

              • [^] # Re: C'est mieux que dans les hôpitaux

                Posté par  . Évalué à 2.

                44 bits d'entropie c'est 244 = 1,8 x 1013

                Oui je réalise que j'ai fait l'erreur de reprendre les "44 bits d'entropie" (comme le XKCD) alors qu'en fait je ne sais pas d'où ils sortent le "28 bits" et le "44 bits" d'entropie pour leurs deux exemples (11 caractères aléatoires, 28 caractères dont 4 mots du dictionnaires et 3 espaces).

                En fait je pensais avant tout au nombre de caractères et je voulais essentiellement dire que : ce n'est pas parce que ça a plus de caractères au total que l'entropie est plus élevée (puisque la méthode de construction se limite aux mots du dictionnaire dans le 2ème exemple).

                Pour moi :

                • la 1e méthode représente {nombre de caractères possibles. On va dire 64}11 => 7.3e19 combinaisons possibles
                • la 2e méthode représente {nombre de mots possibles. On va dire 65000}4 => 1.8e19 combinaisons possibles
                • [^] # Re: C'est mieux que dans les hôpitaux

                  Posté par  (site web personnel) . Évalué à 2.

                  je ne sais pas d'où ils sortent

                  Regarde les 2 commentaires juste au-dessus. On fait un choix parmi 2048 mots ((211))4.

                  "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

                • [^] # Re: C'est mieux que dans les hôpitaux

                  Posté par  (site web personnel) . Évalué à 4.

                  Le calcul d'entropie est fait dans le XKCD : chaque petit carré gris est un bit d'entropie.

                  11 caractères aléatoires

                  Non, tu as mal lu le XKCD, ce n'est pas ça qui est fait justement. Là je crois qu'il faut que tu le relises (chaque mot de chaque case) plutôt que de tenter de comprendre les explications ici.

                  • [^] # Re: C'est mieux que dans les hôpitaux

                    Posté par  (site web personnel) . Évalué à 2.

                    Je n'aurai jamais pensé que cette BD était si mal comprise. Pourtant il parle bien de mots,

                    "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

                  • [^] # Re: C'est mieux que dans les hôpitaux

                    Posté par  . Évalué à 2. Dernière modification le 01 novembre 2019 à 04:20.

                    Mince, effectivement je l'avais (vraiment) lu trop vite et en diagonale ! Merci pour cet éclairage qui fait que je m'endormirai (un peu) moins bête :)

        • [^] # Re: C'est mieux que dans les hôpitaux

          Posté par  (site web personnel) . Évalué à 5.

          Bien d’accord. Et quant à citer des xkcd ceux ci permettent de relativiser les risques liés aux mots de passes écrits sur papier : Sécuriser les secrets informatique & vrai cas d’effractions informatiques. Ceci étant bien entendu limité aux cas de gens évoluant dans des milieux modérément fréquentés par les truands de tout poils.

          « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

        • [^] # Re: C'est mieux que dans les hôpitaux

          Posté par  . Évalué à 1.

          En plus en général, les pirates sont polis : ils vont simplement demander ton mot de passe, te demander ton numéro de CB ou bien te demander de faire un virement.

          Bref rien à voir avec les données médicales dans les exemples que j'ai donné mais l'axe d'attaque d'un pirate n'est plus d'essayer de cracker le mot de passe (trop compliqué par rapport à demander)

      • [^] # Re: C'est mieux que dans les hôpitaux

        Posté par  (site web personnel, Mastodon) . Évalué à 10.

        il n'y a que les informaticiens qui se préoccupent de sécurité informatique

        Je voudrais réagir à ceci.

        Le problème c'est que ces fameux informaticiens s'en préoccupent souvent (mais pas toujours) sans penser aux utilisateurs et utilisatrices finaux. Par exemple, comme je le soulignais, en imposant des mots de passe invraisemblables, voire une kyrielle de mots de passe qui doivent changer périodiquement. Ou encore sans prévoir qu'une personne donnée (cas du secrétariat médical) puisse avoir besoin d'accéder à divers comptes avec chacun son mot de passe, ou encore négliger la formation des personnes sur le sujet.

        Bref, si lesdits informaticiens et informaticiennes se préoccupaient réellement de la sécurité informatique, ils regarderaient un peu plus au-delà de leurs claviers et se pencheraient plus en direction du public-cible pour voir comment adapter les règles informatiques aux usages réels. Parce qu'en effet, ça ne sert à rien d'avoir le système informatique le plus sécurisé du monde si les mots de passe traînent partout, si ce qui est affiché sur les moniteurs peut être vu de n'importe qui, si on peut récupérer les données d'une façon ou d'une autre, si elles passent par le téléphone ou encore si on accepte des adresses de type gmail.

        La sécurité informatique dépasse largement le code.

        « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

        • [^] # Re: C'est mieux que dans les hôpitaux

          Posté par  . Évalué à 5.

          Aaah! Ça n'a pas choqué que moi le commentaire sur les post-it collé à l'écran plein de mots de passe!

          Avant de me dire que c'est dangereux aussi, je me suis également demandé "bon sang on s'attend vraiment à ce qu'elle retienne 3 paires id/mdp qui doivent sûrement changer de temps en temps!!".

          J'ai déjà du mal avec ceux que j'ai au boulot et sur mon serveur perso (utilisateur, gestionnaire de mdp, admin du serveur!).
          Parfois je me félicite aussi de ne pas avoir oublié le PIN d'une carte bancaire que j'utilise peu.

          Je suis sensibilisé au problème de sécurité, mais j'aurais sûrement fait pareil (juste pas collé sur l'écran!).

          • [^] # Re: C'est mieux que dans les hôpitaux

            Posté par  (site web personnel, Mastodon) . Évalué à 5.

            Avant de me dire que c'est dangereux aussi, je me suis également demandé "bon sang on s'attend vraiment à ce qu'elle retienne 3 paires id/mdp qui doivent sûrement changer de temps en temps!!".

            Qu'elles retiennent cela alors qu'elle doivent : gérer les rendez-vous des médecins, recevoir les patients (et certains peuvent être agressifs), gérer les documents, saisir les compte-rendus, répondre au téléphone, tout cela quasiment en même temps. Je doute que les informaticiens préoccupés de la sécurité en fassent autant et aussi diversifié dans une journée.

            C'est là où on voit que personne ne s'est vraiment préoccupé de ce poste de travail. C'est souvent le cas dans ces postes subalternes dont on oublie qu'ils sont essentiels au bon fonctionnement mais qu'on néglige car ils sont subalternes.

            « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

            • [^] # Re: C'est mieux que dans les hôpitaux

              Posté par  (site web personnel) . Évalué à 7.

              personne ne s'est vraiment préoccupé de ce poste de travail

              Bien sûr que si: les personnels de santé sont censés utiliser leur CPS.

              Ah oui mais non en fait, car le Docteur Henry la perds tout le temps, le service administratif les confisquegarde pour faire la facturation, le stagiaire DSI n'a pas pensé à commander les lecteurs de carte, l’éditeur eStartupSanté n'arrive pas à les gérer…

              Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

              • [^] # Re: C'est mieux que dans les hôpitaux

                Posté par  (site web personnel, Mastodon) . Évalué à 4. Dernière modification le 29 octobre 2019 à 15:34.

                Voilà ! C'est pas si loin de la réalité concrète à laquelle, généralement, les personnes qui s'occupent de la sécurité informatique ne pensent pas.

                « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

              • [^] # Re: C'est mieux que dans les hôpitaux

                Posté par  . Évalué à 3.

                Non, il ne la perd pas car elle sert aussi pour payer la cantine et ouvrir les portes.
                Par contre, les lecteurs manquants et leur gestion aléatoire : t'as bien visé :)

            • [^] # Re: C'est mieux que dans les hôpitaux

              Posté par  . Évalué à 5. Dernière modification le 29 octobre 2019 à 17:05.

              On est d'accord, l'entreprise ne peut pas (ne devrait pas) lui demander de gérer seule les x passwords professionnels. En fait je voulais surtout répondre à "C'est mieux que dans les hôpitaux" avec un exemple tout aussi mauvais dans le privé. Par contre il y a quand même au moins une méthode plus simple et plus sécurisée pour l'employée : mettre les post-it ailleurs que sous les yeux des clients. Un ptit cahier dans son tiroir par exemple. C'est toujours mauvais mais c'est "moins pire".
              Le vrai scandale c'est que personne de l'entreprise ne le lui ait dit. Le gars qui vient réparer le bourrage de l'imprimante, son supérieur, quelqu'un d'autre qu'un client quoi.
              L'autre soucis, c'est que la "sécurité simple" je pense qu'on ne sait toujours pas faire (y compris les personnes responsables). Soit c'est simple et foireux (prénom comme mot de passe), soit c'est sécurisé et trop compliqué (règles absconses genre 28 caractères dont 2 voyelles de l'alphabet cyrillique qui entraînent fatalement les mots de passe sur post-it). Ça va mieux avec la généralisation de l'authent à 2 facteurs et la multiplication des gestionnaires de mots de passe mais encore faut-il réussir à concilier ça avec les usages en entreprise, que ça fonctionne avec les 3 logiciels métiers et la messagerie, etc…

              Bref la sécurité c'est compliqué et je n'en veux pas à ceux qui veulent juste faire leur taff sans avoir à lutter contre les outils. Mais le constat reste le même : y'a des trous béants dans toutes les organisations.

              Dernier exemple : En 2017, "des pirates ont pu mettre la main sur les noms, les dates de naissance et le numéro d’assurance sociale de plus de 145 millions d’Américains" clients de Equifax (leader mondial en évaluation de la cote de crédit, 3 milliards de dollars de chiffre d'affaires annuel). Aujourd'hui on sait qu'en fait les identifiants du portail d'accès au données étaient {user : admin , password : admin}

              Voilà voilà…

              • [^] # Re: C'est mieux que dans les hôpitaux

                Posté par  (site web personnel) . Évalué à 7.

                des pirates ont pu mettre la main sur les noms, les dates de naissance et le numéro d’assurance sociale

                En même temps, là le problème, c'est que ces données ait de la valeur. Aux US, avec juste ça tu peux ouvrir un compte en banque et endetter quelqu'un. C'est absurde de se contenter d'un numéro de sécurité sociale, qu'il est impossible de changer et accessible à des centaines de personnes, pour considérer qu'on à authentifié quelqu'un !

                • [^] # Re: C'est mieux que dans les hôpitaux

                  Posté par  . Évalué à 9.

                  Même genre au Canada, et pour ne pas marcher sur la tête:
                  "Ne divulguez JAMAIS votre Numéro d'Assurance Sociale"

                  Inscription à la moindre activité de l'enfant:

                  "Afin de bénéficier du crédit d'impôt pour les activités sportives des enfants, veuillez inscrire le nom du parent ainsi que son numéro d'assurance sociale sur la feuille d'inscription"
                  Donc à personne, sauf aux garderies, activités sportives, camps de jour, etc. etc.
                  Évidemment on ne laissera jaaaamais la responsabilité de toutes ces feuilles d'inscription à n'importe qui: juste aux secrétaires, aux étudiants qui remplacent la secrétaire, au personnel qui passe par là, aux encadrants qui viennent vérifier si l'enfant est allergique, …

                  Bref, la sécurité, c'est mieux quand tire dans les 2 sens!

        • [^] # Re: C'est mieux que dans les hôpitaux

          Posté par  . Évalué à 4.

          [les] informaticiens s'en préoccupent souvent [de la sécurité] sans penser aux utilisateurs et utilisatrices finaux

          Je trouve que certains informaticiens ont parfaitement répondus au besoin en pondant des logiciels de gestion des mots de passe.

          Que le public ne les connaissent pas et/ou ne les utilise pas, ce n'est pas « de la faute » des informaticiens.
          Tout comme beaucoup de gens s'abreuvent de potins sur les réseaux sociaux, ce n'est pas « de la faute » de ceux qui produisent des contenus de qualité.

          • [^] # Re: C'est mieux que dans les hôpitaux

            Posté par  (site web personnel, Mastodon) . Évalué à 5.

            C'est le boulot de l'informatique d'installer les logiciels sur les postes et de s'assurer que les gens savent l'utiliser. Je rappelle qu'en termes de sécurité, normalement, il devrait être impossible en entreprise d'installer un logiciel, sauf si on est habilité pour le faire.

            C'est trop facile de dire "on est les seuls à s'occuper de la sécurité" quand on ne lève pas le nez de son clavier.

            « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

            • [^] # Re: C'est mieux que dans les hôpitaux

              Posté par  . Évalué à 10.

              Ce n'est pas aux informaticiens de décider de la politique d'une entreprise.
              Qu'ils proposent et conseillent certes, mais c'est la direction qui décide quel niveau d'attention doit être porté à la sécurité.

              Dans mes clients j'en ai moins de 10 % qui ont mis en place un début de commencement d'attention à la sécurité informatique, malgré le fait que je leur en parle plusieurs fois par an.

               

              C'est le boulot de l'informatique d'installer les logiciels sur les postes et de s'assurer que les gens savent l'utiliser

              C'est le boulot d'une direction d'entreprise de recruter les bons informaticiens ou les bons prestataires, de leur donner une vue claire des points importants, de leur donner les moyens d'agir (pas uniquement financiers), et de donner les moyens aux employés d'être un minimum formés (par les informaticiens ou d'autres).

              Il y a quasi zéro pourcent des entreprises qui font cela pour l'informatique. Et pas que pour l'informatique.
              On trouve énormément d'entreprises dont l'informatique est géré par des bras cassés. Ces gens là n'ont pas obligé l'entreprise à les recruter, c'est une action volontaire de la direction (généralement par incompétence, ils ne font pas exprès d'embaucher des billes. Par contre ils font exprès de ne pas leur donner les moyens d'évoluer et d'être efficaces).

               

              en termes de sécurité, normalement, il devrait être impossible en entreprise d'installer un logiciel, sauf si on est habilité pour le faire.

              C'est le cas dans de très nombreuses entreprises. La plupart des boîtes avec plus de 10 postes que j'ai vu sont dans ce cas.
              Ça n'empêche pas les utilisateurs de demander à avoir tel ou tel logiciel (sauf adminazi).

               

              C'est trop facile de dire "on est les seuls à s'occuper de la sécurité" quand on ne lève pas le nez de son clavier.

              Factuellement certains informaticiens sont quasi les seuls à s'en préoccuper. Tu connais qui d'autre ? Un utilisateur par-ci par-là, ça reste anecdotique. Déjà que chez les informaticiens c'est loin de la majorité :-)

              Mais tu veux qu'ils fassent quoi ? Qu'ils aillent contre la volonté de la direction ? Dans la vraie vie l'informaticien ferme sa bouche et continue à faire ce qu'on lui dit de faire. Bâcler la sortie du logiciel ? Oui monsieur, tout de suite. Installer cet ERP avec le prestataire qui a été choisi parce que la présentation Powerpoint était convaincante ? Oui monsieur, tout de suite. Mettre en place un WiFi pour 50 personnes avec un mot de passe valable pour tout le monde ? Oui monsieur, tout de suite. De la merde ? Oui monsieur, tout de suite. La sécurité, on verra lorsque la direction en parlera, parce que là je dois m'occuper de tous les trucs qui merdent à force de faire dans l'urgence.
              Quasi tout cela découle de décisions de la direction. Les informaticiens ne sont pas là pour redresser les torts, ils sont là pour suivre les directives comme tout le monde. Une fois que l'informaticien a fait son job d'informer la direction, le reste n'est plus son problème.

              • [^] # Re: C'est mieux que dans les hôpitaux

                Posté par  (site web personnel) . Évalué à 1.

                Donc, le problème, c'est le caractère pyramidal de l'organisation des entreprises…

                La lumière pense voyager plus vite que quoi que ce soit d'autre, mais c'est faux. Peu importe à quelle vitesse voyage la lumière, l'obscurité arrive toujours la première, et elle l'attend.

  • # Peu faire pire

    Posté par  . Évalué à 6.

    J'ai vu des médecins échanger avec un hôpital en utilisant gmail pour faire passer des informations confidentielles. C'est pourtant strictement interdit.

    En cas de doute ou d'erreur avérée, tu peux conseiller à ton médecin de contacter l'Agence Régionale de Santé (ARS) dont c'est la mission de l'aider à utiliser des outils adaptés.

    • [^] # Re: Peu faire pire

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      Il y a (ou avait, jʼespère que ça a changé depuis) des médecins, à lʼAPHP (donc le plus grand groupe hospitalier de France) qui ne géraient leurs rendez-vous professionnels que par Google agenda et cela bien quʼil existât une application professionnelle dédiée plus pratiques pour les gens qui assurent le secrétariat médical et pour la gestion des patients.

      Il y a beaucoup de boulot à faire dans ce domaine :-(.

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: Peut faire pire

      Posté par  (site web personnel) . Évalué à 4.

      Vu également :

      • échange de radios par messagerie sur téléphone portable (donc Google ou Apple, je suppose) parce que le SI de l'école dentaire flambant neuve (de cette grande ville bretonne que je ne nommerai pas) « ne marchait pas » (ou n'était pas aussi pratique/rapide/habituel que les téléphones, je n'ai pas osé demander) ;
      • même endroit : postes Windows XP avec mot de passe = prénom + année de naissance, communiqué aux collègues devant les patients.

      Debian Consultant @ DEBAMAX

  • # Alternative à Teamviewer ?

    Posté par  . Évalué à 3.

    On sent bien sans que ça soit dit explicitement que le problème soulevé ici est l'usage de Teamviewer. En même temps, même si le médecin et le support informatique étaient tous les deux sensibilisés à ça, quelle alternative ils pourraient utiliser ? (hint : en libre, il n'y a rien)

    • [^] # Re: Alternative à Teamviewer ?

      Posté par  (Mastodon) . Évalué à 2. Dernière modification le 28 octobre 2019 à 15:28.

      T'as toujours des moyens type ssh + vnc. C'est moins rapide et immédiat à mettre en oeuvre la première fois mais c'est largement faisable et ça peut-être packagé sous forme de blob avec une UI bête et méchante de type "clique sur le gros bouton pour autoriser l'accès".

      Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

      • [^] # Re: Alternative à Teamviewer ?

        Posté par  . Évalué à 10.

        Non, ça ne répond pas du tout au besoin. J'utilise moi aussi du SSH+VNC et c'est clairement pas viable. Loin, très loin d'un Teamviewer, on peut pas dire que c'est une alternative. Il faut soit un serveur SSH accessible chez le client (tous les clients), et donc des renvois de ports. Soit du reverse VNC avec le SSH qui tourne du côté du support, mais dans ce cas c'est limité à une prise de contrôle à la fois. Il n'y a pas d'interface propre à déployer chez les clients. On peut contourner certains de ces problèmes avec d'autres couches à base de logiciels non maintenus (comme des réflecteurs VNC), mais c'est du bricolage, ça donne un ensemble fragile, et complexe à maintenir. Bref, dans le monde réel, les gens utilisent Teamviewer parce qu'il n'y a pas d'alternative.

        • [^] # Re: Alternative à Teamviewer ?

          Posté par  (Mastodon) . Évalué à 4.

          Ben l'idée derrière tout ça c'est que justement avec ces deux briques de bases et un serveur déporté tu te confectionnes ta solution.

          Donc non il n'y a pas de solution clef en main mais il y a moyen de mettre ça en place et packager le tout correctement. Du côté du client tant que tu peux lancer à minima un client ssh et un serveur vnc t'es bon.

          En fait c'est ce que package ShowMyPC :
          https://showmypc.com/

          Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

          • [^] # Re: Alternative à Teamviewer ?

            Posté par  . Évalué à 3.

            Donc non il n'y a pas de solution clef en main mais il y a moyen de mettre ça en place et packager le tout correctement

            Voilà bien le problème, et ce que je veux dire par "il n'existe pas d'alternative". Oui, on peut se bricoler quelque chose, mais :

            • Ça demande du temps d'assembler ces briques, qui pourrait être investi à faire des choses plus productives (sans parler du temps pour le maintenir après sa mise en place)
            • Moins simples pour les utilisateurs qui n'y connaissent rien
            • Moins de fonctionnalités (tchat intégré, transfert de fichiers etc..)
            • Plus fragile (et si le port 22 est bloqué ? Ben ça passe pas)
            • [^] # Re: Alternative à Teamviewer ?

              Posté par  (Mastodon) . Évalué à 7.

              Note que puisque tu parles de chat intégré la version dektop de jitsi meet permet la prise de contrôle de l'écran. Elle est malheureusement peu visible dans le sens où tu ne la trouves que sur leur dépôt github mais c'est du logiciel libre et ça a le mérite d'exister.

              Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

              • [^] # Re: Alternative à Teamviewer ?

                Posté par  . Évalué à 3. Dernière modification le 28 octobre 2019 à 18:00.

                Oui, mais ça implique d'ouvrir des ports etc. Il n'y a hélas rien, nada, quedalle en libre qui est aussi facile à utiliser que Teamviewer. Quand tu es prestataire informatique, la première chose que demande les clients, c'est s'ils doivent activer Teamviewer pour le dépannage.

                • [^] # Re: Alternative à Teamviewer ?

                  Posté par  (site web personnel) . Évalué à 2.

                  Ça ne répond pas à tous les points soulevés plus haut (il n'est pas possible de prendre la main sur plusieurs ordinateurs en même temps, ça ne passe pas les pare-feu qui font de l'inspection profonde de paquet, mais j'ai justement publié une procédure pour se faire un client SSH + VNC.

                  En étant un peu malin et avec quelques bases de programmation / script shell / python, je suis sûr qu'il serait possible de l'améliorer pour le rendre compatible avec plusieurs assistances en parallèle.

                  • [^] # Re: Alternative à Teamviewer ?

                    Posté par  . Évalué à 3.

                    C'est tellement simple à faire… que personne ne l'ai fait.

                    Ça existe déjà mais fonctionne vraiment mal. N'arrive pas à la cheville de TeamViewer.

                  • [^] # Re: Alternative à Teamviewer ?

                    Posté par  (Mastodon) . Évalué à 2.

                    , ça ne passe pas les pare-feu qui font de l'inspection profonde de paquet,

                    C'est plutôt un bon point. C'est à ton client que tu te connectes.

                    Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

    • [^] # Re: Alternative à Teamviewer ?

      Posté par  . Évalué à 1.

      (hint : en libre, il n'y a rien)

      TightVNC ? TigerVNC ? Remmina ? X2Go ? Guacamole ? Dayon! ? Xrdp ?

      En réalité, il existe des dizaines de solutions libres pour réaliser une prise de contrôle à distance…

      On sent bien sans que ça soit dit explicitement que le problème soulevé ici est l'usage de Teamviewer.

      Euh non, l'auteur soulève le problème du secret médical bafoué, le fait qu'une entreprise tiers ait pu accéder à des informations sous secret médical sans y être habilité est un réel problème.

      La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

      • [^] # Re: Alternative à Teamviewer ?

        Posté par  . Évalué à 5.

        TightVNC ? TigerVNC ? Remmina ? X2Go ? Guacamole ? Dayon! ? Xrdp ?

        Merci, je connais tout ça. Et je maintiens que non, ce ne sont pas des alternatives à Teamviewer (voir mon post plus haut). Ce ne sont que des briques élémentaires qui pourraient potentiellement être utilisées par une hypothétique solution libre alternative…. qui pour l'instant n'existe pas.

        • [^] # Re: Alternative à Teamviewer ?

          Posté par  . Évalué à 2. Dernière modification le 28 octobre 2019 à 16:16.

          J'ai beau chercher, je ne trouve pas d'arguments montrant que ce ne sont pas des alternatives à TeamViewer. Qu'est-ce qui fait que ce ne sont pas des alternatives à TeamViewer ?

          Parce que même pour Wikipédia, c'est bien une alternative de logiciels de prise de contrôle d'un ordinateur à distance.

          Et on a même des logiciels libres qui visiblement en font bien plus que TeamViewer… Donc je ne suis pas certain de comprendre en quoi ce ne sont pas des alternatives.

          La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

          • [^] # Re: Alternative à Teamviewer ?

            Posté par  . Évalué à 5. Dernière modification le 28 octobre 2019 à 16:27.

            J'ai beau chercher, je ne trouve pas d'arguments montrant que ce ne sont pas des alternatives à TeamViewer.

            Oui, on peut effectivement faire un concourt de mauvaise fois. Tant qu'à faire, on peut aussi dire que Dia est une alternative à MS Visio puisque c'est écrit quelque part sur Internet. Bon, ça le rend pas vrai pour autant.

            Je suis vraiment un partisan du logiciel Libre. Mais nier ses lacunes (parce qu'il y en a), ça ne lui rend pas service. Et dans le domaine de la prise de contrôle à distance, il n'y a rien qui puisse concurrencer TV (le tech lance un client, l'utilisateur aussi, on transmet un code créé aléatoirement par téléphone, ça s'établie, on a pas à se soucier de quelque ouverture de port que ce soit)

            • [^] # Re: Alternative à Teamviewer ?

              Posté par  . Évalué à 4.

              Ce n'est pas de la mauvaise foi, je ne connais pas TeamViewer (il ne fonctionne pas sous ArchLinux depuis de longues années avec ma configuration puisqu'il a besoin d'un DE complet ou d'un gestionnaire de login, je n'ai ni l'un, ni l'autre) j'utilise justement des alternatives libres quand j'ai besoin d'intervenir sur le poste d'une client. Parfois une solution propriétaire qui s'appelle AnyDesk également.

              J'aurai aimé lire les arguments que tu as posté 4 minutes après mon message précédent :

              Moins simples pour les utilisateurs qui n'y connaissent rien
              Moins de fonctionnalités (tchat intégré, transfert de fichiers etc..)
              Plus fragile (et si le port 22 est bloqué ? Ben ça passe pas)

              Bon, j'ai au moins eu une réponse même si elle ne m'était pas destinée.

              Mais nier ses lacunes (parce qu'il y en a), ça ne lui rend pas service

              Encore une fois, je ne connais pas TeamViewer. Je ne nie donc pas les lacunes des alternatives, au contraire, je te demande de me décrire quelles sont leurs lacunes par rapport à TeamViewer.

              Tu l'as fait pour d'autres personnes après mon message sans pour autant leur mettre sous le nez leur prétendue mauvaise foi. D'une certaine façon, merci.

              La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

              • [^] # Re: Alternative à Teamviewer ?

                Posté par  . Évalué à 7. Dernière modification le 28 octobre 2019 à 18:08.

                Avec toutes les solutions libres, tu es obligé d'ouvrir des ports ou de les faire ouvrir. c'est inexploitable quand tu dois dépanner des centaines de clients avec tous une infrastructure différente, surtout si certains sont des banques, ils ne t'ouvriront jamais les ports dont tu as besoin. Teamviewer utilise des techniques qui traversent les pare-feux, genre Hole punching. Aucune, vraiment aucune solution libre ne fait cela.
                Tu pourras essayer tout ce que tu veux, des trucVNC, machinRDP, des VPNs ou du SSH couplé à des tentatives de hole punching en libre, bref tout ce qui existe en libre, il n'y a rien qui fonctionne de suite et aussi facilement que Teamviewer. Et à chaque fois que quelqu'un en parle, les intégristes de la sécurité hurlent qu'il ne faut pas utiliser Teamviewer ni faire la même chose en libre, que c'est mal. Ils ont tout faux, quasiment TOUT le monde utilise Teamviewer.

                • [^] # Re: Alternative à Teamviewer ?

                  Posté par  . Évalué à 10.

                  Merci beaucoup.

                  Je rebondis seulement sur :

                  Ils ont tout faux, quasiment TOUT le monde utilise Teamviewer

                  Dans ma boîte, TeamViewer est totalement interdit. C'est visiblement un trou béant en terme de sécurité et on a déjà eu des mises à pied pour cette raison… (oui, nous avons nos postes en administrateur). On travaille à destination des banques et des assurances, on a des informations ultra-confidentielles du fait de notre position dominante qu'on ne peut se permettre de disperser dans la nature, on s'occupe également de montants très importants (plusieurs dizaines de milliards d'euros) dans une solution cloud. Il serait fâcheux que quelqu'un d'extérieur à l'entreprise puisse prendre la main sur quoi que ce soit chez nous.

                  Littérature un peu vieille sur le sujet :
                  https://arstechnica.com/information-technology/2016/06/teamviewer-users-are-being-hacked-in-bulk-and-we-still-dont-know-how/
                  https://arstechnica.com/information-technology/2016/06/teamviewer-says-theres-no-evidence-of-2fa-bypass-in-mass-account-hack/

                  Je ne sais pas réellement ce qu'il en est personnellement mais il y a sans doute du vrai dans le fait que ce soit un risque supplémentaire.

                  La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

                  • [^] # Re: Alternative à Teamviewer ?

                    Posté par  . Évalué à 7. Dernière modification le 28 octobre 2019 à 22:31.

                    Déjà, le fait que Teamviever soit une boîte noire est un risque de sécurité très important. c'est pour cela qu'il faut une alternative libre.

            • [^] # Re: Alternative à Teamviewer ?

              Posté par  . Évalué à 1. Dernière modification le 30 octobre 2019 à 08:47.

              LibreOffice Draw se rapproche beaucoup plus de Visio que DIA. Il permet de dessiner des formes avec des connecteurs et de les relier.

              • [^] # Re: Alternative à Teamviewer ?

                Posté par  . Évalué à 1.

                C'est un peu hors sujet : mais Draw aussi est à des années lumière de Visio. Le rendu, les shapes de base, les performances … Pour moi, il est pas utilisable

          • [^] # Re: Alternative à Teamviewer ?

            Posté par  . Évalué à 7.

            Qu'est-ce qui fait que ce ne sont pas des alternatives à TeamViewer ?

            le fait de passer au travers des nat et firewall ?

            ton vnc va marcher très bien sur ton lan,
            mais ne saura pas se connecter au pc du médecin 'Dupont' de Toulouse qui a juste un pc windows derriere une box internet

          • [^] # Re: Alternative à Teamviewer ?

            Posté par  (site web personnel) . Évalué à 1.

            J'ai beau chercher, je ne trouve pas d'arguments montrant que ce ne sont pas des alternatives à TeamViewer. Qu'est-ce qui fait que ce ne sont pas des alternatives à TeamViewer ?

            Je confirme, toutes ces solutions ne rivalisent pas avec TeamViewer pour la prise de contrôle à distance hors de ton réseau local. Elles imposent toutes connaître l'IP du distant, que le port qui va bien soit ouvert.

            Born to Kill EndUser !

            • [^] # Re: Alternative à Teamviewer ?

              Posté par  (site web personnel) . Évalué à 5.

              Edit ---

              Exemple de confidentialité lié au poste : au début de mon contrat chez un employeur je gérais, entre autre, le logiciel de paye. Il a refusé que j'ai le mot de passe "admin" du logiciel car il ne voulait pas que j'accède au paie. Jusque la je suis d'accord sauf que je lui ai expliqué que j'étais tenu au secret professionnel et que de toute manière je n'avais pas besoin d'avoir accès au logiciel pour voir les données puisque j'étais de le DBA et j'avais full accès aux différentes bases de données de la société. Je lui ai aussi fais remarqué qu'il avait toute confiance en ses comptables et son directeur financier qui avaient accès à des données toutes aussi sensible sur la stratégie de la société.

              La relation avec nos clients et/ou supérieur est basé sur la confiance et l'honnêteté. Un client/employeur doit avoir confiance en son admin/dsi/dba/dev… Si non ce n'est pas la peine de faire appel à ses personnes.

              Born to Kill EndUser !

    • [^] # Re: Alternative à Teamviewer ?

      Posté par  . Évalué à 6.

      En tant que client patient je m'adresse à un professionnel qui est tenu de garantir le secret médical. A charge pour lui de faire appel à des prestataires de service si nécessaire pour mettre en place les moyens nécessaires. Sans être jusqu’au-boutiste (la sécurité absolue n'existe pas) on peut quand même penser que ce n'est pas le cas dans la situation décrite dans ce journal.

    • [^] # Re: Alternative à Teamviewer ?

      Posté par  (site web personnel) . Évalué à 3. Dernière modification le 28 octobre 2019 à 17:49.

      On sent bien sans que ça soit dit explicitement que le problème soulevé ici est l'usage de Teamviewer.

      En fait j'ai mentionné TeamViewer parce que c'est ce qui a fait réagir mon cerveau reptilien et prêter attention à la suite de la conversation. Je me serai posé les mêmes questions quelle que soit la solution d'accès à distance utilisée, fusse t'elle libre.

      Et je n'ai pas mentionné dans mon message initial un point qui a été soulevé dans une contribution, je crois, celui du social engineering. Je soupçonne fort que l'interlocuteurice s'est annoncée comme "Camille, de chez Medicomputer Assistance". Je n'ai pas eu le sentiment qu'il y ait un dispositif de confirmation de la légitimité de l'interlocuteur distant.

    • [^] # Re: Alternative à Teamviewer ?

      Posté par  (site web personnel) . Évalué à 5.

      quelle alternative ils pourraient utiliser ? (hint : en libre, il n'y a rien)

      Oh que si, mais tu ne connais pas.
      Il y a DWService qui fonctionne très bien tout en étant simple à mettre en place. C'est du https, ça passe partout. Kiki Novacs en a fait une bonne présentation de DWService sur son blog.
      Et il y en a un autre que j'espère retrouver dans le fouillis de mes marque pages d'ici ce soir la fin de semaine.

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

      • [^] # Re: Alternative à Teamviewer ?

        Posté par  . Évalué à 6.

        Oh que si, mais tu ne connais pas.

        Manqué parce que si, je connais (enfin, je l'ai évalué il y a quelques années). Et non, c'est pas libre dans son ensemble. Seul l'agent l'est (c'est un bon début, mais pas suffisant pour en faire une solution libre)

    • [^] # Re: Alternative à Teamviewer ?

      Posté par  . Évalué à 1.

      En alternative y a dwservice ( https://www.dwservice.net ). Le code source de l'agent est disponible sur github ( https://github.com/dwservice/agent )

  • # Réflexion en cours

    Posté par  . Évalué à 4.

    Salut,

    D'abord, en effet, comme souligné, utiliser TeamViewer est peut-être pas tip-top, mais ça « juste marche » (et le médecin n'a pas fait ses années d'études dans l'informatique, ou si oui, j'en changerait illico : il est là pour réparer le corps, pas la machine - si besoin).

    On peut supposer (à juste titre ?) que le technicien en face est aussi un professionnel dans son domaine propre (l'informatique), donc qu'il prend son travail au sérieux. Dans ce contexte, je le vois mal piocher dans les dossiers sans risque de se retrouver derrière des barreaux au pire, à la rue et sans réemploi possible au mieux.

    Tout ça pour aller où dans ma réflexion actuelle ?

    J'ai depuis quelque temps un « pépin » de santé. Pour le moment, je les gère, je les préviens. Pour le moment.

    Histoire d'en révéler un peu plus pour partir sur du concret pas si secret, si je reste assis et statique trop longtemps, je fais une phlébite (pour un informaticien, ce n'est pas exactement idéal). Bon, je n'en ai fait que deux avérées, et maintenant, je sais à quoi ça ressemble. En cas de doute, mon médecin m'envoie dare dare faire une petite vérification sans demander son reste dû.

    Jusque là, ce n'est que « bénin ». Combien de temps ? Aucune idée. Et en fait je crois que maintenant que c'est un problème déclenché, c'est une surveillance, en mode "à la vie, à la mort".

    Plusieurs problèmes se posent cependant sur ce dit secret médical.

    Moi, j'ai été très clair avec mon employeur : je dois me lever, bouger, environ toutes les heures. Parce que sinon, je morfle quelques mois en arrêt maladie, ce qui ne me va pas, pas plus qu'à lui. J'ai été clair avec mes collègues aussi pendant une durée assez longue de traitement (6 mois d'anti-coagulants, ça calme un peu) : au moindre choc peu brutal, c'est hémorragie interne.

    Bon, j'en prends plus pour le moment, mais durant le traitement j'avais une carte dans mon portefeuille « au cas où », histoire que si un bête accident m'arrive alors que je suis tout seul dans la rue, le secouriste trouve tout de suite pourquoi ça dégouline de sang de partout.

    Enfin, moins rigolo que l'accident dans la rue, comme le problème après la phlébite c'est entre autre l'embolie cérébrale, bah là c'est inconscience, et impossible de se rater à moins d'avoir de l'aide très rapide.

    Bref, secret médical ou survie ?

    J'avoue ne pas avoir encore la conclusion, mais ma pensée tend vers la « transparence » quand c'est de sa peau qu'il s'agit.

    Donc l'autre au dépannage, bah il peut bien regarder cet élément du dossier, ça en fait un de plus au courant.

    ;)

    Matricule 23415

    • [^] # Re: Réflexion en cours

      Posté par  . Évalué à 9.

      Ce n'est pas tant le problème que ton entourage sache. Au contraire, de ce que tu nous décris, c'est essentiel que ton entourage soit au courant de ce qui t'affecte.

      Ce qui est problématique c'est que peut-être, cette entreprise de dépannage pourrait récolter des données et les revendre à des tiers. Au hasard, des assureurs…

      Admettons que tu aies une assurance vie, elle serait alors capable d'adapter les tarifs à ton profil. Tu as potentiellement plus de chances de décéder qu'une personne en bonne santé => on va augmenter le prix de ton assurance.

      Bon, je suis d'accord que dans le cas de l'auteur du journal, cette situation est improbable. Cependant respecter le secret est un comportement imposé par la nature des informations dont la divulgation à des tiers pourrait porter atteinte à la réputation, à la considération ou à l'intimité de la personne qui s'est confiée au médecin ; le droit au respect de l'intimité est inscrit dans la déclaration universelle des Droits de l'Homme.

      On comprend bien que des régimes totalitaires aient interdit le secret médical. On comprend bien l’intérêt financier que certains groupes de pression retireraient de l’abolition du secret médical, et les campagnes qu’ils soutiennent. Les médecins et les patients, doivent résister et expliquer à tous que le secret médical n’existe que dans l’intérêt du patient, et dans celui de la qualité des soins.

      La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

      • [^] # Re: Réflexion en cours

        Posté par  (site web personnel) . Évalué à 5.

        Admettons que tu aies une assurance vie, elle serait alors capable d'adapter les tarifs à ton profil. Tu as potentiellement plus de chances de décéder qu'une personne en bonne santé => on va augmenter le prix de ton assurance.

        En vrai tu ne peux pas dissimuler ce genre d'informations à ton assurance justement. S'ils n'ont pas l'étendu des risques connus au moment de la signature du contrat, c'est une clause de rupture de contrat de leur côté et ils en ont le droit.

        Cependant cela ne vaut que pour les affections connues du client et pour des choses sérieuses. L'assurance ne peut pas exiger le dossier médical complet non plus, seulement ce qui est pertinent. Donc oui il y a des données qu'ils n'ont pas accès et qui pourraient les intéresser sur le passé médical d'un client mais peu probable que cela change significativement la donne en fait. Car le plus grave doit être mentionné de toute façon.

        On comprend bien que des régimes totalitaires aient interdit le secret médical. On comprend bien l’intérêt financier que certains groupes de pression retireraient de l’abolition du secret médical, et les campagnes qu’ils soutiennent. Les médecins et les patients, doivent résister et expliquer à tous que le secret médical n’existe que dans l’intérêt du patient, et dans celui de la qualité des soins.

        On est d'accord, d'ailleurs plus haut je ne souhaite pas remettre en cause ce besoin qui est essentiel. Mais il faut savoir être raisonnable aussi. Un service informatique de support de fait peut accéder par inadvertance ou par nécessité à des informations confidentielles. Le tout est de limiter au maximum le besoin de ces accès dans le temps et en opportunités. Tant que le médecin ne fait pas appel au service tous les quatre matins, je pense que ce genre de divulgations inopportunes n'est pas si dramatique que cela car le gars du support a d'autres choses à foutre.

        Ce qui est plus gênant c'est si le PC du médecin est vulnérable et que n'importe qui de l'extérieur pourrait faire une attaque ciblée pour collecter l'ensemble des données à l'insu du praticien. C'est selon moi plus sérieux que ce qui a donné lieu à la rédaction du journal.

        • [^] # Re: Réflexion en cours

          Posté par  . Évalué à 3. Dernière modification le 28 octobre 2019 à 21:50.

          En vrai tu ne peux pas dissimuler ce genre d'informations à ton assurance justement. S'ils n'ont pas l'étendu des risques connus au moment de la signature du contrat, c'est une clause de rupture de contrat de leur côté et ils en ont le droit.

          Je ne parle pas du moment de la signature mais plutôt en cours de contrat… Même si j'en conviens que mon exemple n'était sans doute pas le meilleur.

          On est d'accord, d'ailleurs plus haut je ne souhaite pas remettre en cause ce besoin qui est essentiel. Mais il faut savoir être raisonnable aussi. Un service informatique de support de fait peut accéder par inadvertance ou par nécessité à des informations confidentielles. Le tout est de limiter au maximum le besoin de ces accès dans le temps et en opportunités. Tant que le médecin ne fait pas appel au service tous les quatre matins, je pense que ce genre de divulgations inopportunes n'est pas si dramatique que cela car le gars du support a d'autres choses à foutre.

          Et en effet, dans la quasi-totalité des cas, le dépanneur n'en aura rien à faire. Mais il peut aussi tomber sur le dossier médical de son voisin/ex-conjoint/salarié/patron/autre et éventuellement nuire à sa réputation/le virer (plutôt que de payer des arrêts maladies)/autre. Je pense qu'il pourrait être intéressant de légiférer afin d'étendre le secret médical aux personnes (physiques ou morales) qui pourraient avoir accès à des données médicales confidentielles dans l'exercice de leurs fonctions.

          Ce qui est plus gênant c'est si le PC du médecin est vulnérable et que n'importe qui de l'extérieur pourrait faire une attaque ciblée pour collecter l'ensemble des données à l'insu du praticien. C'est selon moi plus sérieux que ce qui a donné lieu à la rédaction du journal.

          On est bien d'accord là-dessus. A vrai dire, utiliser un système d'exploitation propriétaire avec des solutions propriétaires pour réaliser et stocker des dossiers médicaux est déjà un problème. On peut facilement supposer, depuis les révélations Snowden, que les entreprises (et donc, indirectement, des gouvernements) proposant ces solutions techniques, aient les moyens d'accéder à ces données.

          La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

      • [^] # Re: Réflexion en cours

        Posté par  . Évalué à 3.

        Salut,

        Ce qui est problématique c'est que peut-être, cette entreprise de dépannage pourrait récolter des données et les revendre à des tiers.

        Une bonne partie du problème est hypothétique, c'est là le hic où on n'est pas d'accord.

        Tu parles de potentialité, alors que moi je te parle d'assurance : le gars de l'autre côté du fil, s'il veut garder son travail, il a intérêt à ne pas déconner. Et c'est presque idem pour les sociétés tierces, car sinon c'est du "Fame & Shame", de nos jours.

        On est très, mais alors très loin, d'un lanceur d'alerte qui prendrait un risque pour un citoyen lambda.

        Je me reprend comme exemple (c'est un peu celui que je connais le mieux, hein ;) ) : il y a quelques années, je bossais pour un logiciel de statistiques. Donc, forcément, j'ai dû croiser des assureurs et banquiers pour du support. Métier oblige. Éh bien j'avais des aprioris, maintenant je n'en ai plus. Ce n'est pas ma clef GPG inscrite sur ma carte de visite qui incitait à la confiance pour du débug, mais bien le sérieux de l'interlocuteur en face.

        J'en ai fait des pieds et des mains pour expliquer à ma direction qu'il était important de fournir un canal de communication sécurisé.

        Bilan : ils (ma direction) ont accepté au vu des arguments, mais ça ne m'a jamais servi au final. :p

        Mes clients de l'époque étaient bien plus contents avec un dépannage rapide et discret qu'avec un gros processus sécurisé qu'ils ne comprenaient de toute façon pas.

        Je crois que ta vision est biaisée, mais je peux me tromper ;)

        Matricule 23415

        • [^] # Re: Réflexion en cours

          Posté par  . Évalué à 5. Dernière modification le 28 octobre 2019 à 23:27.

          Encore une fois, je suis d'accord que dans ce cas précis, il est très peu probable qu'il y ait un quelconque risque.

          le gars de l'autre côté du fil, s'il veut garder son travail, il a intérêt à ne pas déconner

          Il a surtout intérêt à faire ce qu'on lui demande de faire. Si son entreprise est spécialisée dans le dépannage informatique et la récolte/revente de données des ordinateurs dépannés et qu'on lui demande de récupérer toutes les données médicales disponibles sur l'ordinateur, il le fera.

          Et c'est pas déconnant, le dépannage informatique (j'en ai fait et en fait encore régulièrement bien que ce ne soit pas mon coeur de métier) offre l'accès à une myriade d'informations personnelles : historique des sites visités, parfois numéros de CB enregistrés, adresses, téléphone, pages de réseaux sociaux déjà connectées, il n'est pas rare de retrouver également un scan de diverses pièces d'identité, photos… Alors si en plus on peut avoir des dossiers médicaux de centaines de patients, pourquoi s'en priver ?

          Globalement, les dérapages arrivent presque toujours d'une potentialité. C'est justement parce que c'est potentiellement possible qu'il n'y a pas nécessairement de raison de s'en priver.

          Si je crois aussi que la majorité des gens sont bienveillants, il ne faut pas exclure que certains ne le sont pas. Et le but d'une entreprise reste de faire de l'argent, la revente des données est un moyen d'en générer (assez facilement par ailleurs).

          La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

          • [^] # Re: Réflexion en cours

            Posté par  . Évalué à 2.

            Salut,

            Encore une fois, je suis d'accord que dans ce cas précis, il est très peu probable qu'il y ait un quelconque risque.

            Ouf, ok, donc on peut continuer à papoter tranquillement ;)

            Si son entreprise est spécialisée dans […] la récolte/revente de données

            Et paf, dans le mille :)

            Passons sur le conditionnel pour le moment.

            Tu as une dent contre un truc, non ? Pas la rage, j'espère (ça fait mal je crois, mais j'en ai de moins en moins :p).

            le dépannage informatique […] offre l'accès à une myriade d'informations personnelles

            Le boulot aussi. L'employé de ménage d'entreprise a généralement accès à tous les bureaux pour vider les poubelles, par exemple. Surtout les plus prestigieux.

            Bon, bin, quoi ? La direction a oublié le dernier contrat hyper secret sur son bureau ? Et alors ?

            Revendre l'info pour trois francs et six sous, devoir rentrer chez soi si comme bien souvent c'est un emploi pas prisé par les locaux, ou être professionnel ?

            C'est pareil pour les entreprises un peu respectueuses. "Fame & Shame", comme je disais, si tu n'es pas à peu près droit dans tes bottes.

            Quand bien même le code source serait libre, crois-tu vraiment que ce n'est pas plus l'occasion qui fait le laron ?

            Matricule 23415

        • [^] # Re: Réflexion en cours

          Posté par  (Mastodon) . Évalué à 4.

          Ce qui est problématique c'est que peut-être, cette entreprise de dépannage pourrait récolter des données et les revendre à des tiers.

          Une bonne partie du problème est hypothétique, c'est là le hic où on n'est pas d'accord.

          Tu parles de potentialité, alors que moi je te parle d'assurance : le gars de l'autre côté du fil, s'il veut garder son travail, il a intérêt à ne pas déconner. Et c'est presque idem pour les sociétés tierces, car sinon c'est du "Fame & Shame", de nos jours.

          J'ai l'impression qu'une partie des membres de linuxfr n'ont jamais travaillé. Dans n'importe quel job qu'on fait on a accès à des secrets et on a une clause de confidentialité.

          Idem entre relation client <--> prestataire.

          Et le tout se base sur la confiance. La base de nos société repose aussi sur un minimum de confiance.

          Tu peux mettre tous les garde-fous que tu veux si tu pars du principe que tu ne peux faire confiance en personne tu sors du système médical et tu vis en ermite.

          /!\ Je ne dis pas qu'il n'est pas bien de protéger au mieux certaines infos et d'appliquer des bonnes pratiques, ni que l'utilisation de teamviewer ou service cloud x est bien ou pas. Je réagis juste à l'hypothèse du prestataire malveillant.

          et hop pour la bonne humeur un petit StrangePlanet de Nathan Pyle:

          Strange Planet Fast Food
          nathanwpylestrangeplanet - instagram account

          Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

      • [^] # Re: Réflexion en cours

        Posté par  . Évalué à 4.

        Ce qui est problématique c'est que peut-être, cette entreprise de dépannage pourrait récolter des données et les revendre à des tiers. Au hasard, des assureurs…

        ou les revendre à une fournisseur d'électricité qui pourrait faire des vidéos contextuelles en fonction de la pathologie, cf :
        https://linuxfr.org/users/fantastix/journaux/les-cons-ca-ose-tout

        « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

  • # Problème plus général

    Posté par  (site web personnel) . Évalué à 5.

    C'est un problème très général :
    - souvent le personnel de maintenance a beaucoup d'accès (comme celui de ménage qui pourrait très bien regarder beaucoup de dossiers papier s'ils ne sont pas sous clef),
    - les admin sys. ont toujours non seulement des accès très larges, mais aussi la possibilité de supprimer les traces de leurs accès, quel que soit le domaine.

    Là, on peut seulement espérer que les admin à distance soient formés au respect du secret médical au même titre que les secrétaires.

    • [^] # Re: Problème plus général

      Posté par  . Évalué à 3.

      les admin sys. ont toujours non seulement des accès très larges, mais aussi la possibilité de supprimer les traces de leurs accès, quel que soit le domaine.

      Souvent moyen de supprimer leurs traces mais pas tout le temps. Par exemple, avec un syslog distant (auquel ceux qui se connectent aux machines connectés n'ont pas accès) qui loguera au moins la connexion à la machine (avant que l'admin malicieux/maladroit tue le daemon syslog local).

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Problème plus général

        Posté par  (site web personnel) . Évalué à 4. Dernière modification le 28 octobre 2019 à 22:48.

        Bof, à part des cas très spécifiques dans des entités assez grosses pour avoir des équipes d'admin différentes, tu peux aussi couper ça (par exemple utiliser du Puppet — ou autre — pour reconfigurer syslog pour ne pas logger tes accès avant de passer à l'action).

  • # Si vous avez une autre solution...

    Posté par  (site web personnel) . Évalué à 10.

    Je suis médecin hospitalier. Les systèmes de télétransmission "officiels" pour envoyer des images (scanner etc.) d'un hôpital à l'autre sont tellement pénibles (remplir trois pages de renseignements que personne ne lira à deux heures du mat…) que ça se termine souvent par gmail ou "Prend une photo du scanner avec ton téléphone & tu me l'envoies en MMS". Et tant pis pour la confidentialité.
    Et je confirme que toute la maintenance se fait avec accès aux dossiers patients mais je ne vois pas comment faire autrement. Le plus souvent on travaille sur le célèbre patient Test TEST qui a toutes les maladies connues.
    On considère que le technicien qui intervient sur le fichier patient est un "professionnel de santé" au sens large & donc peut avoir accès aux données patients. Bâtard, discutable, mais trouvez une autre solution…

    • [^] # Re: Si vous avez une autre solution...

      Posté par  (site web personnel, Mastodon) . Évalué à 7. Dernière modification le 29 octobre 2019 à 15:53.

      Déjà, ne pas utiliser une adresse gmail pour ce genre de choses serait un début accessible.

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: Si vous avez une autre solution...

      Posté par  . Évalué à 4. Dernière modification le 30 octobre 2019 à 09:45.

      Ne serait-il pas possible d'utiliser un chiffrement de bout en bout à défaut de respecter la procédure traditionnelle ?

      Utiliser une autre adresse mail que celle fournie par Google et activer le chiffrement.
      Pour les SMS/MMS, utiliser par exemple Silence en remplacement de son utilitaire de messagerie habituel et activer le chiffrement avec les contacts professionnels : c'est littéralement 1 clic par interlocuteur et c'est fait pour toute la vie.

      Il existe des solutions faciles à mettre en place même pour les néophytes qui garantissent la confidentialité.

      La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

    • [^] # Re: Si vous avez une autre solution...

      Posté par  . Évalué à 3.

      En fait le monde de la santé est dans un décalage dans son usage du maintien en conditions opérationnelles (mco) avec les standards, car si on ne voit pas bien comment faire autrement qu'intervenir sur les outils de production, la bonne règle serait pourtant de sanctuariser ces outils, et donc de diagnostiquer/corriger sur les outils de qualification, et de mettre alors en place la correction trouvée sur l'outil de production. Cela c'est la théorie, sauf que effectivement, les flux sortants et entrants n'existent pas sur les machines de qualifications et les erreurs n'y sont pas reproduites (et je parle donc de systèmes informatisés de dossiers patients, de radiologie ou de système de gestion de laboratoires hospitaliers). Nous (DSI du monde hospitalier) devons mettre cela en place, pour être calé aux standards industriels, mais l'équation est difficile, et pas comprises. Si quelqu'un a une solution ?

  • # Doctolib

    Posté par  (site web personnel, Mastodon) . Évalué à 6.

    Dans le domaine du secret médical, il y a autre chose qui me tarabuste : c’est la généralisation de Doctolib.

    Alors oui, c’est très pratique, et je suppose qu’ils ont des clauses de confidentialité, mais cette boîte privée connaît tous vos RDV chez les généralistes et chez les spécialistes de santé.

    Que se passe-t-il s’ils se font pirater, racheter par un affidé des GAFAM, ou simplement s’ils sont victimes d’une malveillance interne ? Eh bien tout votre parcours de santé se retrouverait dans la nature…

    • [^] # Re: Doctolib

      Posté par  (site web personnel) . Évalué à -2.

      Comme tout ce qui est pratique mais c'est toi le produit: il ne faut pas les utiliser.

      Et si ton médecin te l'impose, je suppose qu'il est possible de se plaindre au conseil de l'ordre.

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Doctolib

        Posté par  (site web personnel, Mastodon) . Évalué à 2.

        Ben si tu passes par un centre de santé et que ça te permet de gagner énormément de temps quand tu dois prendre des rendez-vous, histoire par exemple de les prendre dans la même demi-journée quand tu dois consulter deux toubibs différents ou te faire faire des examens différents, ou consultation toubib + imagerie médicale, ou encore histoire de pouvoir, au sortir, de la consultation, te faire tirer ta pinte de sang à des fins d'analyse (raison pour laquelle tu as pris rendez-vous), malgré les inconvénients, tu l'utilises. En plus, dans ce cas là, ça te permet de choisir ton toubib (crois-moi, ça peut être hyper important).

        C'est un peu le problème.

        Maintenant, il est possible que dans ce genre d'endroit, ils aient une instance doctolib perso (je n'en sais rien).

        « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

        • [^] # Re: Doctolib

          Posté par  (site web personnel) . Évalué à -2. Dernière modification le 29 octobre 2019 à 22:40.

          Osef que ça soit pratique, si ça viole ta privacité.

          Un peu comme si on te disait pourquoi tu ne te prostitues pas au lieu de travailler, c'est tellement pratique de vendre son cul 5 minutes au lieu de bosser 8 heures!

          Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

          • [^] # Re: Doctolib

            Posté par  . Évalué à 1.

            5 minutes? hé bien, tu dois avoir un sacré fondement.
            Si t'as besoin d'en parler LinuxFR est là…

            Je trolle dès quand ça parle business, sécurité et sciences sociales

          • [^] # Re: Doctolib

            Posté par  (site web personnel, Mastodon) . Évalué à 4.

            Si tu veux vraiment vivre de la prostitution c'est bien plus de cinq minutes que tu dois y consacrer et plus probablement plus de huit heures par jour et c'est un métier à risques donc pas du tout de l'argent facile

            Sinon, oui je sais, utiliser ces outils de prises de rendez-vous est problématique mais, dans mon centre de santé, on ne peut plus prendre de rendez-vous par téléphone (plus de personnel pour ça). Il faudrait aller sur place et faire la queue pour prendre un rendez-vous (calendrier géré par leur système interfacé avec Doctolib), soit environ deux heures rien que pour ça. Voilà l'entièreté du problème.

            Donc même si tu vas sur place, tu ne sais pas si et comment sont gérées tes données. Bon c'est une question à poser, mais pas au personnel (adorable au demeurant) de l'accueil.

            « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

            • [^] # Re: Doctolib

              Posté par  (site web personnel) . Évalué à 4.

              Malheureusement, je ne vois pas comment résoudre ce problème autrement que par la Justice ou l'Etat.

              La première va mettre 42 ans, le second est aujourd'hui pro doctolib.

              Misère.

              Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

              • [^] # Re: Doctolib

                Posté par  . Évalué à 1.

                Pour tout ce qu'on produit et consomme, ça ne sert à rien en effet de compter sur l'état, la justice… La seule façon de changer les choses, c'est de proposer une meilleure alternative libre puis de l'utiliser et de la recommander aux autres.

                • [^] # Re: Doctolib

                  Posté par  (site web personnel) . Évalué à 5.

                  Même si tu écris Doctognu, ça ne servira à rien si le médecin le fait héberger par Microsoft.

                  Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

              • [^] # Re: Doctolib

                Posté par  . Évalué à 2.

                D'ailleurs c'est pour cela que l'Etat a légiféré sur ces sujets, en imposant des certifications pour l'hébergement (Hébérgeur données de santé, via l'Asip Santé) et les procédures de gestion des données. Donc, tout peut arriver dans le pire des scénarios. Mais c'est aussi le cas si l'Etat s'en occupe directement. Ou alors on considère les fonctionnaires infaillibles.

                • [^] # Re: Doctolib

                  Posté par  (site web personnel) . Évalué à 2.

                  Le mieux ce serait un service géré par l'Ordre des médecins plutôt que par une entreprise.

                  Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

                  • [^] # Re: Doctolib

                    Posté par  . Évalué à 1.

                    Sur le modèle des notaires ? les retours sur la qualité de service, le prix du service, etc. sont plutôt très négatifs.

                  • [^] # Re: Doctolib

                    Posté par  (site web personnel) . Évalué à 4.

                    Ah, les "ordres" (médecins, avocats…). Pourquoi, dans les métiers libéraux, donner tant de pouvoir à des entités corporatistes ?

                    Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141

                    • [^] # Re: Doctolib

                      Posté par  (site web personnel) . Évalué à 2.

                      Je préfère les fr:corporations aux en:corporations !

                      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.