• # Titre trompeur

    Posté par  (site web personnel) . Évalué à 8 (+9/-3).

    Si l'article dit vrai et que je l’interprète correctement, il aurait été juste d'écrire : une faille mise en place volontairement par France Travail compromet les données personnelles de 43 millions de personnes. La nuance n'est pas subtile.
    Dans le texte on lit que les services informatique ont averti a priori du risque d'une manœuvre de la direction, et que cette dernière s'est assis sur l'avertissement, ordonnant la mise en œuvre du plan troué. Ça ressemble tellement à tout ce que l'on observe des modes de gouvernance actuel, que ce récit me paraît fort crédible.

    « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

    • [^] # Re: Titre trompeur

      Posté par  (site web personnel) . Évalué à 5 (+4/-1).

      En même temps, que risquent ils ?

      Adhérer à l'April, ça vous tente ?

    • [^] # Re: Titre trompeur

      Posté par  (site web personnel) . Évalué à 4 (+2/-0).

      Ma lecture est encore différente : la "faille" est voulue et restera.
      L'authentification sera peut-être plus sécurisée mais de ce que je comprend il est considéré normal que n'importe quel employé ai accès à toute la base sans limite dure très basse (le tout est de connaître cette limite, certes) qui bloque automatiquement l'accès (détection à posteriori à coup d'alertes si "trop" de volume de requêtes?).

      OK…

      • [^] # Re: Titre trompeur

        Posté par  . Évalué à 5 (+4/-0).

        c'etait déjà le cas a l'époque de l'anpe, un employé peut avoir accès à toute la base, simplement avec le nom et prénom.

        source : une ex que j'avais rencontré dans une région où je n'habitais pas qui y bossait et avait regardé si je n’étais pas un psychopathe et que ce que je disais n’était pas un mensonge. :O

        ah ouais quand même ! ça m'avait surpris, et en discutant avec ma vrai conseillère de ce cas, elle ma dit oui mais on n'a pas le droit "normalement" mais ça semblait être courant.

        • [^] # Re: Titre trompeur

          Posté par  . Évalué à 3 (+2/-1).

          Serait-ce un symptôme que l'Élite juge le personnel trop bête pour retenir une méthode plus sûre ?

        • [^] # Re: Titre trompeur

          Posté par  . Évalué à 8 (+6/-0).

          source : une ex que j'avais rencontré dans une région où je n'habitais pas qui y bossait et avait regardé si je n’étais pas un psychopathe et que ce que je disais n’était pas un mensonge. :O

          C'est un acte extrêmement grave. Le détournement de données personnelles d'utilisateurs à des fins personnelles… Ca n'est sévèrement sanctionné que depuis le RGPD, mais ça n'en était pas moins grave avant…

          https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

          • [^] # Re: Titre trompeur

            Posté par  (site web personnel) . Évalué à 7 (+5/-0).

            Et tu penses qu'il faudra combien d'années pour la CNIL daigne se pencher sur le sujet?

            Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

            • [^] # Re: Titre trompeur

              Posté par  . Évalué à 6 (+4/-0).

              Je ne comprends pas, le fait que la CNIL ne le sanctionne pas devrait m'empêcher d'être offusquer quand des gens font des fautes graves manifestes ?

              La CNIL n'est pas la seule à pouvoir avoir l'initiative en plus, une victime peut très bien porter plainte. Contre la personne qui a fauté et contre l'organisme qui n'a pas mis en place le niveau de sécurité des données légale. Mais pour ça il faut que les victimes soient consciente que c'est quelque chose de grave donc il me semble bon de le rappeler.

              https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

              • [^] # Re: Titre trompeur

                Posté par  (site web personnel) . Évalué à 2 (+1/-1).

                Et comment tu estimes et défends ton préjudice?

                Si tu n'avais pas un email et un numéro de téléphone exclusivement utilisé pour Pole Emploi, et pas pour les offres, alors c'est déjà moins difficile.

                Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

                • [^] # Re: Titre trompeur

                  Posté par  . Évalué à 6 (+4/-0). Dernière modification le 28 mai 2024 à 10:02.

                  Encore une fois je ne vois pas en quoi le fait que ce soit difficile à condamné devrait m'empêcher de m'en offusquer. Ça n'est pas mignon, ce n'est pas une attention touchante, c'est un abus grave de son travail. J'ai eu accès pour mon travail aux numéros de téléphone mobile avec nom, prénom, adresse postale et mail de quelques dizaines de millions de français. Si t'a pas une déontologie c'est le far west, la possibilité de doxxer n'importe qui, etc. Se balader avec les informations personnelle de centaines de milliers de gens dans la poche c'est grave. Se permettre de les manipuler pour des besoins personnels n'a rien d'anodin. S'en vanter comme si c'était anodin c'est ne pas comprendre les enjeux. Que ce soit facile à condamné ou pas n'y change rien.

                  Ensuite compliqué ne veut pas dire que c'est impossible, il y a déjà eu des condamnations il me semble aux USA d'employés de Meta (ça devait être encore Facebook à l'époque).

                  https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

        • [^] # Re: Titre trompeur

          Posté par  . Évalué à 2 (+1/-0).

          A priori, c'est pareil dans la police/gendarmerie.
          Mais les accès sont tracés.

          • [^] # Re: Titre trompeur

            Posté par  (site web personnel, Mastodon) . Évalué à 2 (+1/-0).

            Ça change quoi que les accès soient tracés ? Le compte a été piraté ou un seul fonctionnaire corrompu et tout est dans la nature.

            Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.

            • [^] # Re: Titre trompeur

              Posté par  . Évalué à 6 (+4/-0).

              Le traçage de qui accède aux données est une obligation du RGPD. Tu dois être en mesure d'affirmer qui a accédé à quoi à tout moment. Dans le cas des forces de l'ordre ça permet de pouvoir vérifier que quelqu'un ne traque pas son conjoint par exemple. Ça permet de savoir d'où vient une éventuelle fuite.

              Ça n'empêche pas qu'il doit y avoir un contrôle d'accès, mais de l'autre côté le fait qu'il y ai un contrôle d'accès ne dispense pas de tracer les accès aux données.

              https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

              • [^] # Re: Titre trompeur

                Posté par  (Mastodon) . Évalué à 4 (+1/-0).

                Le fait que ça soit tracé dans un journal c'est relativement facile mais ne signifie pas qu'il y a action derrière malheureusement. Certe la RGPD stipule que Le responsable du traitement doit s’assurer que les gestionnaires de l'enregistrement des opérations lui notifient toute anomalie ou tout incident de sécurité, dans les plus brefs délais, dans les faits j'ai peu d'espoir car c'est bien complexe de s'assurer via un procédé automatique que chaque requête dans une base soit liée à un besoin légitime dans tous les cas.

                • [^] # Re: Titre trompeur

                  Posté par  . Évalué à 4 (+2/-0).

                  C'est exactement le même principe que mettre des caméras de surveillance. Ça dissuade peut être un peu et ça permet de pouvoir enquêter après coup (et contrairement aux caméras si ça ne le permet pas le RGPD sanctionne pour défaut de sécurité).

                  c'est bien complexe de s'assurer via un procédé automatique que chaque requête dans une base soit liée à un besoin légitime dans tous les cas

                  Normalement ce n'est pas comme ça que ça fonctionne. Tu fais une requête à une personne en charge de savoir si ta demande est légitime et il te donne accès à ces données. Donc on parle d'un contrôle humain à priori. Il est même possible qu'il te fournisse des données anonymisées ou pseudonimisées par exemple (et l'UE travail sur les propriétés que doit avoir une donnée pour être considérée comme anonymisée ou pseudonimisée).

                  https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

                  • [^] # Re: Titre trompeur

                    Posté par  (Mastodon) . Évalué à 5 (+2/-0). Dernière modification le 28 mai 2024 à 10:38.

                    Normalement ce n'est pas comme ça que ça fonctionne. Tu fais une requête à une personne en charge de savoir si ta demande est légitime et il te donne accès à ces données. Donc on parle d'un contrôle humain à priori. Il est même possible qu'il te fournisse des données anonymisées ou pseudonimisées par exemple (et l'UE travail sur les propriétés que doit avoir une donnée pour être considérée comme anonymisée ou pseudonimisée).

                    Dans certains cas c'est relativement facile. Exemple de Pôle emploi. Je ne sais pas comment ça marche car je n'y ai jamais mis les pieds mais dans l'équivalent d'un autre pays, on t'attribuait un conseiller qui te suivait jusqu'à l'obtention d'un emploi. Dans ce cas c'est facile, conseiller x peut avoir accès aux données d'une liste limitée de demandeurs. Si il essaie d'accéder à quelqu'un qui n'est pas dans sa liste, grosse alarme.

                    Dans le cas de l'exemple de la police ça devient compliqué. Tu peux facilement logger que agent Tartampion demande info sur madame Michu dans le cadre de l'affaire Dupont parce que témoin N a mentionné cette personne et … c'est louche. Par contre si tu veux faire de la politique des 4 yeux, tu dois faire en sorte que l'agent Tartampion demande à quelqu'un d'autre (quel profil?) qu'il voudrait enquêter sur madame Michu dans le cadre de l'affaire Dupont. Mais cette autre personne, soit elle est relativement proche de l'agent Tartampion (et donc peut-être complice si la demande de Tartampion est illicite avec risque d'omerta) pour connaitre de quoi le dossier en retourne et savoir si la demande est légitime, soit être étrangère au dossier et elle même devoir faire une demande d'accès au dossier…Enfin j'imagine qu'on peut mettre ne place un processus, mais ça devient vite soit pas très fiable en terme de vérification, soit hyper bureaucratique. Et ça demanderait sûrement la création d'une entitée indépendante de la police sur laquelle aucune pression ne peut se faire.

                    • [^] # Re: Titre trompeur

                      Posté par  . Évalué à 4 (+2/-0).

                      Ça tombe bien on a déjà un fonctionnement similaire pour les forces de l'ordre. Ils veulent une écoute ? Ils font une requête motivée à un juge qui accès au dossier et délibère sur la pertinence de la demande. Et on a déjà le même principe pour le casier judiciaire et ses différents niveaux. On peut peut être simplifier un peu, mais l'esprit de la RGPD c'est bien de considérer que c'est données personnelles sont des données sensibles dans le même principe si ce n'est pas de la même importance.

                      Ce n'est pas simple, mais il va falloir passer les étapes du deuil pour arrêter de jouer les petits Facebook à faire plus ou moins n'importe quoi avec des données utilisateurs parce que ça n'est pas pratique.

                      https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

                      • [^] # Re: Titre trompeur

                        Posté par  (site web personnel, Mastodon) . Évalué à 1 (+0/-0).

                        Ils veulent une écoute ? Ils font une requête motivée à un juge qui accès au dossier et délibère sur la pertinence de la demande.

                        Tu parles de totalement autre chose. Effectivement, si la police veut une écoute ou faire une enquête, elle doit faire une demande auprès d'un juge. Mais que le juge autorise ou interdit cela ne change rien aux accès des policiers à leur base de données. Cette autorisation d'un juge est juste légale. Bon pour les écoutes, il ne peuvent peut-être pas faire la requête auprès des opérateur sans ce papier (Et encore j'en doute)… La on parles d'accès des policiers a des des informations personnelles qu'il ne devraient pas accéder mais que peut-être d'autres policiers ont la légitimité de regarder. On ne regarde pas le point de vue légal ou pénal qui pourrait s'en suivre juste l'accès physique.

                        Pour prendre une analogie, techniquement je peux rouler à 200 km/h devant un radar. Après j'aurais une amende, un retrait de permis peu importe je l'ai fait.

                        Le problème c'est qu'une fois les information dans la nature, condamner la personne n'a plus aucun intérêt, cela ne fera pas revenir les informations. C'est un peu comme dire que personne ne fait d'excès de vitesse car il y a des radars…

                        Le problème de fonds est que l'on donne accès de plus en plus à nos informations personnelles (à titre personnelle, comme au niveau législatif et administratifs) sous prétexte de sécurité (Au sens contrôle). Ceci se fait en faisant sauter les barrière en oubliant que plus on fait sauter les barrières législatives/administratives plus on ouvre les portes aux pirates.

                        Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.

                        • [^] # Re: Titre trompeur

                          Posté par  . Évalué à 2 (+0/-0).

                          Cette autorisation d'un juge est juste légale.

                          La mise en place de moyens pour empêcher l'accès à des données personnelles à quelqu'un qui n'a pas de bonnes raisons est tout aussi légale. Tu peux croire ou non que la loi est appliquée, mais c'est du même acabit, c'est juste des sanctions plus ou moins élevées en cas de manquements.

                          En France on est pas aux USA on a de base un tas de bases de données dans les quels nous sommes (FISC, assurance maladie, CAF, etc) et l'interdiction de recoupement est respecté. Il n'y a pas de raison que ça en soit autrement pour ce qu'implique le RGPD.

                          Le problème de fonds est que l'on donne accès de plus en plus à nos informations personnelles

                          Le RGPD est une première réponse à cela car toutes données stockée doit être motivée, tu dois en contrôler l'accès, tu doit être en mesure de tracé les accès à celles-ci et tu dois être en mesure de les restituer et les détruire sur demande.

                          C'est peut être pas assez, on peut imaginer être plus restrictif mais appliquons déjà pleinement le texte existant plutôt que de tergiverser en invoquant le sophisme d'une hypothétique solution parfaite.

                          https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

                    • [^] # Re: Titre trompeur

                      Posté par  (site web personnel) . Évalué à 5 (+3/-0).

                      Les données Pole Emploi des personnes qui s'y sont inscrites sont gardées plus de 20 ans (vingt ans).
                      Pole Emploi justifie une rétention aussi longue pour des raisons de contrôles.

                      Je ne vois pas pourquoi l'ensemble des collaborateurs et des différents prestataires ou partenaires devraient avoir aussi accès à l'ensemble des données.

                      C'est scandaleux et inadmissible.

                      Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

                    • [^] # Re: Titre trompeur

                      Posté par  . Évalué à 5 (+2/-0).

                      Et ça demanderait sûrement la création d'une entitée indépendante de la police sur laquelle aucune pression ne peut se faire.

                      Et il faudrait que la personne qui vérifie s'assure que le témoin N a bien mentionné madame Michu, sinon l'agent va pouvoir récupérer quelques infos quand même, ça se monnaye plutôt bien ( https://www.20minutes.fr/justice/3062527-20210615-proces-horus-agent-dgsi-vendait-informations-confidentielles-mettre-beurre-epinards )

                      et on a quelques autres histoire de personnes assermentés qui outrepassent les règles pour récupérer des informations auxquelles ils ne sont pas censé avoir accès hors enquêtes.

                      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.