Le topic du GCDJ : Fini de rire

[Orhin]

y compris médicales (bon avec la sécurité qui va avec, pas comme le CEA qui t'envoyait encore ton mot de passe en clair il y a 5 ans ).
Parce que bordel, si t'as l'audace de quitter ton village de naissance, c'est chiant pour tout avoir avec ça. Et c'est chiant d'avoir les images médicales en format papier, photo ou CD.

Sachant que ça existe déjà pour plusieurs pays (en France https://www.service-public.fr/partic...sdroits/F10872), c'est surtout un problème de mutualisations des moyens et de mise en cohérence des normes.

[fishinou]

clavier virtuel

Mais au final, tu reproches quoi concrètement au clavier virtuel ?!?

Les 2 secondes de plus que tu mets à taper ton code ?

[Snakeshit]

Sachant que ça existe déjà pour plusieurs pays (en France https://www.service-public.fr/partic...sdroits/F10872), c'est surtout un problème de mutualisations des moyens et de mise en cohérence des normes.

Oui c'est la partie européenne qui pose problème, pas la partie nationale. Encore que le DMP n'est pas répandu s'il existe en Autriche.

[Herman Speed]

Au Luxembourg on utilise un jeton qui marche aussi pour les services publiques. Mais ils sont moins informatisés que la France.
En Autriche t'as l'appli de ta banque pour les transferts, mais la connexion c'est un simple mot de passe. Et pour activer l'appli pour faire des transferts on t'envoie des codes par la poste. Et t'as aussi la signature par SMS (ou par banque, mais pas toutes) pour les services en ligne.
Clairement c'est un truc que l'UE devrait faire, un service de double authentification ainsi qu'un système de paiement (type Paypal) utilisable dans tous les pays et adapté aux spécificités européennes. Voir un compte unique qui te suit toute ta vie, et inclut toutes tes données y compris médicales (bon avec la sécurité qui va avec, pas comme le CEA qui t'envoyait encore ton mot de passe en clair il y a 5 ans ).
Parce que bordel, si t'as l'audace de quitter ton village de naissance, c'est chiant pour tout avoir avec ça. Et c'est chiant d'avoir les images médicales en format papier, photo ou CD.

La carte électronique d'identité belge me sert pour toute opération administrative.

Pour la carte bancaire, j'ai la double authentification ou l'empreinte digitale.

1)Impôts Tax on Web
2)Sécurité sociale mutuelle - chômage
3)Demandes administratives par guichet électronique : Composition de ménage - Extrait du casier Judiciaire, etc...
4)Interactions data bancaires : Adresse et divers.
5)Identification élections
6)Données médicales - hôpital pharmacie
7)Certains magasins demandent si vous voulez la garantie d'achat via la carte d'identité

Carte à puce avec code PIN et PUK

Et pour les payements , il existe le virement européen sans frais supplémentaire.
Je viens de l'utiliser la semaine passée pour un achat sur le site et 24 H de délais suffisent.

Pour les données médicales, RADIOS, IRM, ils inscrivent un lien sur la ID card où ton généraliste avec ton autorisation Code Pin accède à ton dossier digital de l'hôpital.
Plus de perte de dossier. Suivi continu.

[Snakeshit]

Mais ça ne marche plus dès que tu quittes le pays .

[Ventilo]

La Cnil à toujours bloqué la mise en commun des infos caf impôts sécurité sociale.

[nova]

La Cnil à toujours bloqué la mise en commun des infos caf impôts sécurité sociale.

yep

[Snakeshit]

La Cnil à toujours bloqué la mise en commun des infos caf impôts sécurité sociale.

Pourquoi ?
Pour pas que l'état ait trop de données ou en cas de piratage?

[Anonyme220622]

PaRcE qUe C'eSt PaS mOrAl.

[Anonyme210226]

Pourquoi ?
Pour pas que l'état ait trop de données ou en cas de piratage?

Parce que le croisement des fichiers conduit à des trucs pas jolis jolis. Refuser le versement des allocs à un mec en retard de ses impôts par exemple. Et encore pire si on croise avec les fichiers de la police. "Oh mais dites-moi vous étiez impliqués dans une affaire de pédophilie (y a un fichier pour ça, qui mélange témoins, victimes et agresseurs sans les distinguer), allez hop, je vous sucre l'APL, espèce de gros dégueulasse."

[SNOC XUA TROM]

Parce que le croisement des fichiers conduit à des trucs pas jolis jolis. Refuser le versement des allocs à un mec en retard de ses impôts par exemple. Et encore pire si on croise avec les fichiers de la police. "Oh mais dites-moi vous étiez impliqués dans une affaire de pédophilie (y a un fichier pour ça, qui mélange témoins, victimes et agresseurs sans les distinguer), allez hop, je vous sucre l'APL, espèce de gros dégueulasse."

Le TAJ ?

[Tellure]

Edvige

[Snakeshit]

Parce que le croisement des fichiers conduit à des trucs pas jolis jolis. Refuser le versement des allocs à un mec en retard de ses impôts par exemple. Et encore pire si on croise avec les fichiers de la police. "Oh mais dites-moi vous étiez impliqués dans une affaire de pédophilie (y a un fichier pour ça, qui mélange témoins, victimes et agresseurs sans les distinguer), allez hop, je vous sucre l'APL, espèce de gros dégueulasse."

Les pays bas .
Bon faut de la flexibilité pour ceux qui ne peuvent pas, mais si ça peut punir les puissants c'est pas mauvais non ?
Ou cloisonner le tout sauf pour l'utilisateur final ?

[Daedaal]

Parce que le croisement des fichiers conduit à des trucs pas jolis jolis. Refuser le versement des allocs à un mec en retard de ses impôts par exemple. Et encore pire si on croise avec les fichiers de la police. "Oh mais dites-moi vous étiez impliqués dans une affaire de pédophilie (y a un fichier pour ça, qui mélange témoins, victimes et agresseurs sans les distinguer), allez hop, je vous sucre l'APL, espèce de gros dégueulasse."

Oui et non... :Daedaal:

Spoiler Alert!

Les informations existent et les rapprochement sont déjà faits (tu serais étonné de la capacité de l'administration à faire le lien entre différentes DB ).
Par contre c'est manuel (nan pas lui, il est en Espagne) et pas antibiotique automatique. Ce qui n'est pas un gage de traitement de qwalitance des données parce non-contrôlé et que les sources des infos sont variables en qualité pour dire le moins (y'a qu'à voir les scandales réguliers sur des fichiers de police/administratif...).
Et ça aussi ça donne des résultats pas joli-joli. Mais parfois rigolos : L'administration fiscale (et d'autres) par exemple utilise Fessebouc pour récupérer des infos sur certains contribuables.

L'existence d'une base administrative commune et officielle aurait au moins 2 avantages : Imposer des critères de fiabilité des données plus facilement contrôlables que dans 157 195 BD différentes, concurrentes et pas forcément officielles d'une part. Une DB vivante produit de toute façon des données plus fiables que 30 DB plus ou moins redondantes utilisées ad'hoc.
Et d'autre part de rendre les gens attentifs à la masse de données collectées, voir leur permettre de rectifier toute info erronée.

Mais, sans m'être plus que ça intéressé au sujet, je pense que le blocage vient bien plus des différentes administrations qui veulent conserver leur pré carré, éventuellement continuer leur petite cuisine interne pas forcément légale... Bref de la résistance au changement tout ce qu'il y a de plus classique et sans doute un poil de trucs qui feraient mieux de rester sous le tapis...

my 2c HTVA FOB

[ursule15]

Ne pensez pas que la double authentification est le remede miracle tout le temps.
Par exemple, en cliquant sur un lien phishing, la double authentification ne sert plus a rien.

J'ai vu parmi mes collegues certains qui pensaient du coup etre mieux proteges, et de ce fait faisait un peu moins attention (c'est tout a fait humain comme reaction)
Du coup j'ai fait monter des workshop ou on a hack des comptes proteges par une double authent (FB en l'occurence mais on aurait pu faire ca avec un peu n'importe quel autre systeme).

[Autiste Redding]

Oui et non... :Daedaal:

Spoiler Alert!

Les informations existent et les rapprochement sont déjà faits (tu serais étonné de la capacité de l'administration à faire le lien entre différentes DB ).
Par contre c'est manuel (nan pas lui, il est en Espagne) et pas antibiotique automatique. Ce qui n'est pas un gage de traitement de qwalitance des données parce non-contrôlé et que les sources des infos sont variables en qualité pour dire le moins (y'a qu'à voir les scandales réguliers sur des fichiers de police/administratif...).
Et ça aussi ça donne des résultats pas joli-joli. Mais parfois rigolos : L'administration fiscale (et d'autres) par exemple utilise Fessebouc pour récupérer des infos sur certains contribuables.

L'existence d'une base administrative commune et officielle aurait au moins 2 avantages : Imposer des critères de fiabilité des données plus facilement contrôlables que dans 157 195 BD différentes, concurrentes et pas forcément officielles d'une part. Une DB vivante produit de toute façon des données plus fiables que 30 DB plus ou moins redondantes utilisées ad'hoc.
Et d'autre part de rendre les gens attentifs à la masse de données collectées, voir leur permettre de rectifier toute info erronée.

Mais, sans m'être plus que ça intéressé au sujet, je pense que le blocage vient bien plus des différentes administrations qui veulent conserver leur pré carré, éventuellement continuer leur petite cuisine interne pas forcément légale... Bref de la résistance au changement tout ce qu'il y a de plus classique et sans doute un poil de trucs qui feraient mieux de rester sous le tapis...

my 2c HTVA FOB

T'es Normand ?

[Teocali]

Oui et non... :Daedaal:

Spoiler Alert!

Et d'autre part de rendre les gens attentifs à la masse de données collectées, voir leur permettre de rectifier toute info erronée.

Franchement, Daedaal, ça te ressemble pas de croire aux licornes...

[Snakeshit]

Ne pensez pas que la double authentification est le remede miracle tout le temps.
Par exemple, en cliquant sur un lien phishing, la double authentification ne sert plus a rien.

J'ai vu parmi mes collegues certains qui pensaient du coup etre mieux proteges, et de ce fait faisait un peu moins attention (c'est tout a fait humain comme reaction)
Du coup j'ai fait monter des workshop ou on a hack des comptes proteges par une double authent (FB en l'occurence mais on aurait pu faire ca avec un peu n'importe quel autre systeme).

Même si on ne clique jamais sur un lien dans un email mais qu'on rentre l'adresse nous même ?

[ursule15]

Si tu rentres l'adresse qui est proposee dans l'email, ca ne changera rien au probleme.
Mais evidemment, si l'adresse c'est genre facebok.com, et que tu retapes facebook.com, plus de soucis.

edit : bon, OK c'est pas un bon exemple, facebok.com est redirige sur le vrai facebook Mais tu vois l'idee, le phishing attrapera quand meme les personnes qui utilisent une double authentification.
Et comme on a installe ca, et qu'on se sent parfaitement protege, on fait moins gaffe (principe valable dans d'autres domaines evidemment ).

[arke0d]

Un mec s'est fait voler alors qu'il utilisait la double authentification:


Tout le monde s'accorde à dire que ce serait tout à fait réalisable en France avec la même méthodologie.

[acdctabs]

Oui et non... :Daedaal:

Spoiler Alert!

Les informations existent et les rapprochement sont déjà faits (tu serais étonné de la capacité de l'administration à faire le lien entre différentes DB ).
Par contre c'est manuel (nan pas lui, il est en Espagne) et pas antibiotique automatique. Ce qui n'est pas un gage de traitement de qwalitance des données parce non-contrôlé et que les sources des infos sont variables en qualité pour dire le moins (y'a qu'à voir les scandales réguliers sur des fichiers de police/administratif...).
Et ça aussi ça donne des résultats pas joli-joli. Mais parfois rigolos : L'administration fiscale (et d'autres) par exemple utilise Fessebouc pour récupérer des infos sur certains contribuables.

L'existence d'une base administrative commune et officielle aurait au moins 2 avantages : Imposer des critères de fiabilité des données plus facilement contrôlables que dans 157 195 BD différentes, concurrentes et pas forcément officielles d'une part. Une DB vivante produit de toute façon des données plus fiables que 30 DB plus ou moins redondantes utilisées ad'hoc.
Et d'autre part de rendre les gens attentifs à la masse de données collectées, voir leur permettre de rectifier toute info erronée.

Mais, sans m'être plus que ça intéressé au sujet, je pense que le blocage vient bien plus des différentes administrations qui veulent conserver leur pré carré, éventuellement continuer leur petite cuisine interne pas forcément légale... Bref de la résistance au changement tout ce qu'il y a de plus classique et sans doute un poil de trucs qui feraient mieux de rester sous le tapis...

my 2c HTVA FOB

Faut que je postule pour faire ça, je pense que j'adorerais trop. Quelqu'un sait où on peut candidater ?

[Flad]

Le TAJ ?

C'est mal.

[SNOC XUA TROM]

C'est mal.

old

[Bah]

Un mec s'est fait voler alors qu'il utilisait la double authentification:


Tout le monde s'accorde à dire que ce serait tout à fait réalisable en France avec la même méthodologie.

Je comprends pas la sim port attack. Qu'est-ce qui fait que les mecs ont pu mettre en place ce hack de carte sim ?

[Teocali]

Mais au final, tu reproches quoi concrètement au clavier virtuel ?!?

Les 2 secondes de plus que tu mets à taper ton code ?

15 secondes plutot.

Mais en soit, je suis d'accord, c'est rien. Ce qui me fait vraiment chier, c'est le fait que des glandus ait décidé d'investir de l'argent dans cette solution qui diminue et la sécurité (je passe d'un mot de passe 12 caractères alpha numériques à un mot de passes 8 chiffres) et l'UX sans rien améliorer a coté, et ce pour des raisons idiotes et purement marketing (pléonasme ?). C'est pour ça que je poste dans le GCDJ et pas dans la LDJ.

[ursule15]

Je comprends pas la sim port attack. Qu'est-ce qui fait que les mecs ont pu mettre en place ce hack de carte sim ?

Essentiellement du social engineering, collectant des infos sur leur cible. Ensuite, en appelant le fournisseur de la SIM, ils peuvent passer les questions de securite habituelles (nom de votre premier chien...).

[Bah]

Aaaaaah ok ! Merci.

[Daedaal]

Franchement, Daedaal, ça te ressemble pas de croire aux licornes...

On tue tout semblant d'optimisme en moi, et après on s'étonne que je sois aigri...

Nan, je déconne.
Y'a pas d'optimisme béat, yé n'ai pas changé.
(mais je n'ai pas détaillé)

Ça part d'un constat simple : Aujourd'hui et comme tout le monde, je suis incapable de dire dans combien de fichiers de l’État je suis présent, ni précisément ce qu'ils contiennent sur moi.
Pire, personne ne peut me présenter une liste exhaustive des infos me concernant. Pas tout à fait comme tout le monde mais quand même, j'ai pu avoir un aperçu d'une partie des données me concernant par le biais de connaissances et franchement, j'ai beau être cynique et désabusé, j'ai quand même eu un petit moment de surprise auquel toutes ces années de paranoïa ne m'avait pas préparé.

Si tu mets en place un système unifié officiel, tu as deux effets bénéfiques sur la qualité des données, le premier est de limiter leur redondance; le second de rendre la propriété des données à celui qui les produit. Vl'à un beau titre pour snot qui veut simplement dire que si on te donne accès à une partie de ta "fiche" et que les données renseignées ont des conséquences sur toi, tu veillera forcément à ce que ces infos soient exactes.
Ça n'empêchera pas les dérives actuelles contrairement à ce que j'ai pu laisser imaginer et on ne va pas te filer accès à ta fiche RG/DGSI/etc... Mais en ce qui concerne le sujet de départ (la carte unique), je pense qu'un système unifié n'apporte pas plus d'inconvénients ou de risques que l'état actuel tout en apportant plus de sécurité et de fiabilité dans une partie des données.
Le bilan serait -à mon sens- très largement positif, mais je conçois que j'ai pu mal l'exprimer.

Je vais donc de ce pas aller mettre ma grenouillère licorne et regarder un épisode de MLP en mangeant des marshmallows histoire d'expier.

[Bah]

On tue tout semblant d'optimisme en moi, et après on s'étonne que je sois de droite...

fixed

[Daedaal]

Essentiellement du social engineering, collectant des infos sur leur cible. Ensuite, en appelant le fournisseur de la SIM, ils peuvent passer les questions de securite habituelles (nom de votre premier chien...).

Je me trompe ou la faille principale en sécurité c'est justement le social engineering, loin devant le hack "matériel" ?