Chers lecteurnals,
Je ne vous présente pas Autosur, une des grosses franchises du contrôle technique automobile français.
Donc comme d'habitude:
https://www.autosur.fr/information-fuite-de-donnees/
Je résume: « ne vous en faites pas ».
https://www.zataz.com/fuite-massive-de-donnees-chez-autosur-plus-de-12-millions-de-dossiers-exposes/
Vous l'aurez deviné, c'est peut-être plus embêtant que prévu.
Ça dépend surtout de ce qui a fuité sur les cartes grises, et si celles-ci sont numérisées lors du contrôle technique.
Mais ils sont pas certifié ISO 27001 , eux ?
Alors voyons voir … Autosur est le nom commercial d'un regroupement d'assureurs & contrôleurs techniques qui se nomme SECTA ( https://www.autosur.fr/a-propos-dautosur/ )
Ils sont certifiés ISO 9001, mais pas de mention de 27001 à l'horizon.
Et pourtant …
SECTA est chapeauté par TÜV Rheinland (vous avez tous deviné la nationalité teutonne de ladite boite) : https://fr.wikipedia.org/wiki/Technischer_%C3%9Cberwachungsverein
Bien entendu, ils sont dans le business ISO : https://www.tuv.com/world/en/iso-27001-isms-setting-up.html
La conclusion qui s'impose: Sed quis custodiet ipsos custodes ? (« who will watch the watchers ? »).
# évidemment , dix secondes après avoir posté
Posté par jseb . Évalué à 2 (+0/-0).
Je vois « fuite de donnée », le lecteur attentif aura corrigé en « données ». Il n'y a pas de fautes sur le reste, dommage pour le titre qui est passé à l'as lors de la relecture.
Discussions en français sur la création de jeux videos : IRC libera / #gamedev-fr
[^] # Re: évidemment , dix secondes après avoir posté
Posté par Benoît Sibaud (site web personnel) . Évalué à 4 (+1/-0).
Corrigé, merci.
[^] # Re: évidemment , dix secondes après avoir posté
Posté par Dring . Évalué à 2 (+0/-0).
Pour rester dans le thème, "Pas de fautes", ou "Pas de faute" ? :-) Il me semble que le français autorise les deux, et que l'accord doit se faire avec "ce à quoi on s'attendait".
[^] # Re: évidemment , dix secondes après avoir posté
Posté par Benoît Sibaud (site web personnel) . Évalué à 3 (+0/-0).
Ni l'un ni l'autre, parce qu'il manquait un 's' à franchises.
# Point terminologique pédant
Posté par cg . Évalué à 2 (+0/-0).
L'article de Zataz dit que les fichiers volés contiennent des données sensible. Du point de vue du RGPD, ce n'est pas le cas, les informations comme nom/prénom/adresse mail… n'en sont pas.
[^] # Re: Point terminologique pédant
Posté par GG (site web personnel) . Évalué à 5 (+3/-0).
Une adresse email, avec le contexte, c'est sensible.
Ça facilite le fishing, surtout s'il y a les autres données personnelles.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Point terminologique pédant
Posté par Eric P. . Évalué à 8 (+7/-0).
Faut voir le bon coté des choses!
Imagine quelqu'un garé en double-file devant ta voiture, ou garé devant ton entrée de garage…
Tu cherches la plaque dans la liste fuitée, et ca te donne nom, numero de télephone et email a contacter!
Excusez l'absence d'accents dans mes commentaires, j'habite en Australie et n'ai pas de clavier francais sous la main.
[^] # Re: Point terminologique pédant
Posté par arnaudus . Évalué à 7 (+4/-0).
Ça n'est pas parce que tu considères que l'initiale de ton deuxième prénom est une donnée sensible d'après ton petit doigt que ça redéfinit le machin. Le RGPD définit "donnée sensible" de la manière suivante:
Après, si ton email est "ClalutteFinale @ tetu.fr", c'est toujours discutable…
# Iso 27001 ne garantit en rien les fuites de données (il me semble)
Posté par xandercagexxx . Évalué à 2 (+2/-1).
La certification iso27001 est là pour prouver que vous êtes dans une démarche d'amélioration continue sur le sujet de la sécurité. C'est pas un sésame technique contre le piratage.
Et ils peuvent très bien avoir un niveau de sécurité importants sans avoir entrepris la démarche de certification.
Ce n'est qu'une certification.
Un peut comme un diplôme. Vous pouvez très bien avoir plus de compétences et connaissances qu'un ingénieur, même si vous n'avez pas le diplôme. Avoir le diplôme ne garantit en rien que vous serez meilleurs que celui qui n'en a pas. Vous avez juste la garantie qu'un certain nombre de savoir ont été abordés.
Là, Autosur c'est fait "braqué", comme de nombreuses autres entreprises françaises, et ça fait bien chier. Et je suis surtout surpris que nos politiques et journaliste n'en parlent pas plus, car ce sont nos données qui s'éparpillent de partout ces derniers mois, sans qu'il ne semble y avoir de reel prise de conscience de nos dirigeants. Moi c'est ça qui me choque en tout cas, bien plus que de savoir si Autosur à les bonnes pratiques de sécurité.
Il faut que l'état accompagne/contrôle les entreprises pour que de tel situation ne se reproduisent plus. Il faudrait que les failles exploité soient rendu publique, pour que les autres entreprises puisse se protéger (comme lors d'incident dans l'aviation), sinon, les fuites vont continuer. Surtout que dans la tech, chacun a tellement peur d'être montré du doigt, que chacun fait croire qu'il maîtrise les sujets de sécurité. Nous sommes plus fort ensemble, mais en sécurité informatique, le partage d'information est vraiment faible.
La question maintenant, c'est : quelles données personnelles n'ont pas encore fuité ? A force d'avoir des fuites, la solution est peut être de ne plus rien cacher du tout 😵💫😁😁
[^] # Re: Iso 27001 ne garantit en rien les fuites de données (il me semble)
Posté par cg . Évalué à 6 (+4/-0).
Ce site liste bon an mal an les fuites de données (Autosur y est): https://bonjourlafuite.eu.org/
Tu as tout à fait raison concernant ISO27001, c'est une certification qui atteste que tu suis un certain nombre de pratiques concernant la sécurité de l'information, ou au moins que tu t'en occupe. Aujourd'hui, il est très difficile de se prémunir de toutes les tentatives d'intrusion :(.
Le RGPD oblige les entreprises à annoncer les fuites aux personnes dont les données ont fuité, et rend juridiquement responsable les entreprises des fuites si les moyens de protection sont insuffisants. Gageons que ça aide à monter le niveau, petit à petit.
[^] # Re: Iso 27001 ne garantit en rien les fuites de données (il me semble)
Posté par arnaudus . Évalué à 6 (+3/-0).
😱 😱 😱 😱 😱 😱 😱 😱 😱
[^] # Re: Iso 27001 ne garantit en rien les fuites de données (il me semble)
Posté par cg . Évalué à 3 (+1/-0).
D'où l'intérêt de filigraner ses documents. Même si le filigrane est possible à enlever, cela peut inciter les pirates à passer au document d'après.
[^] # Re: Iso 27001 ne garantit en rien les fuites de données (il me semble)
Posté par arnaudus . Évalué à 6 (+3/-0).
Mouais, ton truc revient à dire que c'est pas un problème qu'il y ait des zombies dans les rues, il faut juste un bon fusil à pompe, une batte de base-ball et des bonnes chaussures de course. Du coup toi tu peux espérer survivre parce que les zombies ont plus de chances de s'attaquer à la vieille mémé à côté.
C'est pas terrible comme projet de société d'espérer que les gens trouvent par eux-mêmes les ressources techniques pour se protéger d'un monde extérieur hostile.
Est-ce que la responsabilité de filigraner les images ne devrait pas reposer sur l'hébergeur des données par exemple? Est-ce que la loi ne pourrait pas prévoir un tarif forfaitaire d'indemnisation pour les fuites de données (par exemple, adresse email 5€, RIB 100€, etc), indemnisation à joindre à la lettre où on prévient les gens du vol de données? Non seulement ça rendrait l'investissement dans la sécurité informatique financièrement valable, mais en plus ça dissuaderait de demander tout un tas d'informations non-nécessaires juste au cas-où.
[^] # Re: Iso 27001 ne garantit en rien les fuites de données (il me semble)
Posté par cg . Évalué à 5 (+3/-0).
C'est simplement pragmatique comme réponse au risque, ça augmente le niveau de difficulté pour les voleurs sans pénaliser les autres. En plus, si les documents filigranés se retrouvent dans la nature, ça facilite la traçabilité.
Et ce n'est pas un projet de société :), c'est une mesure qui n'est pas exclusive à d'autres moyens, comme la sensibilisation et la législation.
# Données personnelles
Posté par LoloB . Évalué à 5 (+5/-1).
Je pense que de toute façon, il faudra un jour considérer que nos données personnelles au sens où on l'entends sont publiques. Une fois ce postulat admis, il faudra revoir les processus qui tournent autour des données personnelles.
Exemple : un ami à moi s'est fait voler ses données. Une AMEX a été créé à son nom, les attaquants ont réutilisés ses données personnelles pour créer cette carte AMEX. Je ne connais pas précisément le processus pour créer une carte AMEX, mais si ce processus était parti du principe que l'association nom / prénom / numéro de compte est publique, surement que cette carte n'aurait pas pu être créée. Peut être que revenir un peu à du physique permettrait de limiter les fraudes.
Concernant les données médicales, j'ai un peu de mal à comprendre pourquoi elles ne sont pas pseudonymisées. Effectivement, le partage de données serait plus compliqué entre services, mais à ce jour, lorsque mon généraliste me prescrit une IRM, je dois revenir le voir avec le compte rendu. Donc de toute façon, l'échange n'a pas l'air très fluide.
# Remises
Posté par Wawet76 . Évalué à 6 (+4/-0).
Les données contiennent les remises accordées aux clients.
Je n'ai jamais pensé à négocier le montant d'un contrôle technique… Ça serait sympa qu'un acheteur des données fasse un topo sur la fréquence et les montants des remises.
[^] # Re: Remises
Posté par jihele . Évalué à 3 (+1/-0).
J'ai souvent bénéficié de réductions (-5 ou 10€) en réservant un créneau moins demandé en milieu de journée. Tout en laissant la voiture toute la journée.
C'est pas une réduction personnalisée, c'est juste un prix minoré sur certains horaires.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.