IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 384
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 384
    Points : 196 429
    Points
    196 429
    Par défaut Les données médicales de près de 500 000 patients français dérobées à des laboratoires
    Les données médicales de près de 500 000 patients français dérobées à des laboratoires
    ont été diffusées sur des forums de pirates informatiques

    Libération a révélé ce mardi 22 février qu’un fichier constitué de données dérobées à des laboratoires et contenant l’identité complète de près d’un demi-million de Français, souvent accompagnée de données critiques, comme des informations sur leur état de santé ou même leur mot de passe, a circulé sur des forums de pirates informatiques.

    Le fichier comporte 491 840 lignes, soit presque autant de patients identifiés avec, à chaque ligne, jusqu’à 60 informations sur la personne concernée. Numéro de sécurité sociale, date de naissance, groupe sanguin, adresse, médecin prescripteur, mais aussi des commentaires précisant l'état de santé, des traitements médicamenteux ou des pathologies (des commentaires comme « grossesse », « tumeur au cerveau », « séropositif HIV », « patiente sourde » ou encore «Levothyrox» et bien d’autres).

    La façon dont le fichier est construit indique que les données proviennent de laboratoires de prélèvement médicaux et pas de cabinets médicaux ou d’hôpitaux. Selon les informations de Libération, les données proviennent principalement de cabinets médicaux des départements du Morbihan, de l’Eure, du Loiret et des Côtes-d’Armor. Selon la rubrique de vérification Checknews du quotidien Libération, qui a enquêté sur le sujet, les données proviendraient d'une trentaine de laboratoires de biologie médicale. Toujours selon Libération, les laboratoires touchés avaient tous utilisé le même logiciel de saisie de renseignements, qui a été progressivement abandonné.

    La fuite de données aurait pu se produire lors de la migration de l’ancien logiciel vers le nouveau.

    « Nous n'avons aucune certitude quant au fait que ce soit uniquement un logiciel Dedalus France qui est en cause dans cette affaire », a réagi auprès de l'AFP le directeur général délégué Didier Neyrat. « Nous avons mis en place une cellule de crise, car nous prenons cela au sérieux et nous allons travailler en partenariat avec nos clients pour comprendre ce qu'il s'est passé », a-t-il ajouté.

    « On peut retrouver ce fichier à 7 endroits différents sur internet », a indiqué de son côté à l'AFP Damien Bancal, journaliste spécialiste de la cybersécurité, qui a le premier identifié la fuite le 14 février sur son blog Zataz.

    Selon lui, ce fichier était l'objet d'une négociation commerciale entre plusieurs pirates sur un groupe Telegram spécialisé dans l'échange de bases de données volées et l'un d'entre eux l'a diffusé sur le web suite à une dispute. « 500 000 données, c'est déjà énorme et rien n'empêche de penser que les pirates en possèdent encore beaucoup plus », a-t-il déclaré à l'AFP.

    D’après Libération, les données proviendraient de laboratoires, et auraient été collectées entre 2015 et 2020. La majorité d’entre elles datent de 2018 et 2019. Le journal relève que les laboratoires ont en point commun l’utilisation d’un même logiciel de saisie des renseignements médico-administratifs, développé par Dedalus France. Il ajoute que c’est également cette entreprise qui installe et maintient le parc informatique pour le compte des établissements.

    Nom : donnees.png
Affichages : 6480
Taille : 474,9 Ko

    Dedalus France avait déjà fait l'objet d'un billet en 2020. Jeudi 2 avril 2020, en plein confinement imposé par l'épidémie de Covid-19, un jeune développeur web employé par le groupe d'informatique hospitalier Dedalus est mis à pied à titre conservatoire et convoqué à un entretien préalable à un « éventuel » licenciement pour faute grave. Dans ce courrier, il lui est alors reproché des faits datant du 25 mars 2020.

    Contacté par TICsanté, l'ex-développeur web de Dedalus a expliqué qu'à cette date, il avait déjà identifié une faille de sécurité importante dans le logiciel destiné aux laboratoires de biologie médicale KaliLab, pouvant « permettre d'accéder comme administrateur aux infrastructures informatiques de plus de 150 laboratoires d'établissements de santé ».

    La porte d'entrée de ces serveurs pouvait être déverrouillée grâce à une clé privée de Dedalus... à laquelle il n'aurait pas dû avoir accès.

    « Nous rappelons qu'en interne, l'accès à cette clé est réservé aux développeurs de l'intranet Dedalus Biologie. Cette clé a été récupérée sur une adresse URL précise et sans recherche préalable », a expliqué l'éditeur dans sa missive, se référant « à des traces d'accès » au serveur web prélevées le 25 mars « dès 13h26, soit 1h30 après que vous l'avez vous-même récupérée en votre qualité de développeur », reprochait-il à son salarié.

    L'ex-développeur web s’est défendu : il a signalé cette faille en janvier 2020 et alerté à plusieurs reprises ses dirigeants français et même le PDG italien du groupe dès le début du mois de mars, avant de prévenir le fonctionnaire chargé de la sécurité des systèmes d'information (FSSI) du ministère des Solidarités et de la Santé, Philippe Loudenot, de cette faille importante et pouvant affecter le fonctionnement des établissements de santé clients, alors pleinement engagés dans la lutte contre l'épidémie de Covid-19.

    Prenant l'alerte au sérieux, Philippe Loudenot va alors contacter la direction du groupe informatique dès le 26 mars pour leur confier la liste des éléments récupérés et les renseigner sur les établissements concernés par la faille et jugés vulnérables.

    « Le groupe Dedalus a fait le nécessaire pour sécuriser ces accès et proposé une nouvelle version du logiciel. Nous avons eu un retour concernant cette montée de versions par la Société française d'informatique de laboratoire (SFIL) le 2 avril 2020 », a expliqué le FSSI dans un deuxième document.

    «  Il n’y a pas de faille de sécurité et il n’y en a jamais eu », lançait alors Didier Neyrat, directeur général délégué de Dedalus France. Un mois et demi plus tard, en décembre 2020, TIC Santé à nouveau, exposait que Dedalus était victime d’une attaque rançongiciel. Mais encore une fois, Didier Neyrat rassurait : « A priori, il n’y a eu aucun vol de données et comme nous avons bloqué l’attaque, il n’y aura pas de paiement de rançon. »

    Les attaques informatiques se multiplient actuellement contre les établissements de santé en France. Des pirates informatiques ont ainsi paralysé les hôpitaux de Dax et de Villefranche-sur-Saône les 8 et 15 février derniers.

    Le 19 février, l'Agence du numérique en santé indiquait également sur son site qu'une liste de 50 000 identifiants de connexion d'agents de centres hospitaliers était en vente sur un forum cybercriminel. « Il y a eu 27 cyberattaques d'hôpitaux en 2020 et depuis le début de l'année 2021, c'est une attaque par semaine », relevait ainsi la semaine dernière le secrétaire d'État chargé du numérique, Cédric O. Cette recrudescence a amené le gouvernement à déployer de nouveaux budgets pour renforcer la sécurité de ces établissements.

    Source : Libération
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Technicien de maintenance / Developpeur PHP
    Inscrit en
    Mai 2015
    Messages
    428
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Technicien de maintenance / Developpeur PHP
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2015
    Messages : 428
    Points : 1 625
    Points
    1 625
    Par défaut
    ... Cette recrudescence a amené le gouvernement à déployer de nouveaux budgets pour renforcer la sécurité de ces établissements.
    Voila, tout est dit. C'est une fois le mal fait que les décideurs bouge.
    Par contre des principes de sécurités simple et pas cher comme la ségrégation des données et minimiser la collecte des données strictement nécessaires, c'est toujours pas assimilé on dirait.
    Du coup, que des laboratoires stock numéro de sécu + Nom + Prénom + Date de naissance + groupe sanguin + adresse + médecin + commentaire, ça leurs sert à quoi exactement ?
    Le numéro de sécu devrait leur suffire puisqu'il leur donne accès à tout le reste de façon indirecte et au besoin.
    Le meilleur moyen d'exfiltrer des données, c'est bien de les copier partout pour rien.
    Et puis bon, les commentaires sur l'état de santé des patient, ça na rien à foutre dans un laboratoire d' "analyse", comme la date de naissance ou autre, franchement un laboratoire d'analyse, ça analyse un prélèvement et pas autre chose.

  3. #3
    Nouveau membre du Club
    Homme Profil pro
    Concepteur Développeur Logiciel(s)
    Inscrit en
    Octobre 2019
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Concepteur Développeur Logiciel(s)
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Octobre 2019
    Messages : 7
    Points : 33
    Points
    33
    Par défaut
    Citation Envoyé par defZero Voir le message
    Du coup, que des laboratoires stock numéro de sécu + Nom + Prénom + Date de naissance + groupe sanguin + adresse + médecin + commentaire, ça leurs sert à quoi exactement ?
    La donnée - et par conséquent l'enjeu de son exploitation - est le nouvel eldorado du 21ème siècle.

    Si ils récupèrent autant d'informations, c'est qu'ils en font quelque chose derrière. Rappelons que le secteur de la santé est un secteur très lucratif...

    Citation Envoyé par defZero Voir le message
    C'est une fois le mal fait que les décideurs bouge
    Comme partout malheureusement. .

    Bien souvent, ces décideurs préfèrent attendre la/les conséquences à un problème - pleinement identifié - qu'ils auraient pu anticiper => "Mais c'est pas de notre faute, veuillez-nous croire. ". Et par expérience personnelle, pas besoin d'être dans une grosse entreprise pour retrouver ce genre de comportement...

  4. #4
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 562
    Points : 7 262
    Points
    7 262
    Par défaut
    Citation Envoyé par defZero Voir le message
    Voila, tout est dit. C'est une fois le mal fait que les décideurs bouge.
    Par contre des principes de sécurités simple et pas cher comme la ségrégation des données et minimiser la collecte des données strictement nécessaires, c'est toujours pas assimilé on dirait.
    Ah non mais là ce n'est pas la sécurité des données qui les intéresse mais "celle des établissements" (pour citer l'article) !

    On parle d'un état dont les gouvernements successifs ont pour lubie la création "de fichiers", comme ils disent (https://fr.wikipedia.org/wiki/Fichage_en_France), et la centralisation des données... Comme tu le dis, minimiser la collecte de données n'est pas assimilé

    Citation Envoyé par ARKHN3B Voir le message
    La donnée - et par conséquent l'enjeu de son exploitation - est le nouvel eldorado du 21ème siècle.
    Si ils récupèrent autant d'informations, c'est qu'ils en font quelque chose derrière. Rappelons que le secteur de la santé est un secteur très lucratif...
    Comme ça au pif, je dirais que le "quelque chose derrière" c'est de revendre les infos aux assurances (santé, vie, etc.) et assimilées. On peut même imaginer la revente à des services RH pour leur permettre de faire de la discrimination en n'embauchant que des employés "aptes" (comprendre avec le moins d'absences/arrêts/maternité possibles).

    Ce n'est, bien entendu, que pure spéculation de ma part, même si comme il y a beaucoup d'argent en jeu, je ne suis peut-être pas très loin de la réalité. Qu'est-ce que vous pensez qu'ils peuvent bien faire de ces données, vous?
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  5. #5
    Rédacteur

    Avatar de SQLpro
    Homme Profil pro
    Expert bases de données / SQL / MS SQL Server / Postgresql
    Inscrit en
    Mai 2002
    Messages
    21 736
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Expert bases de données / SQL / MS SQL Server / Postgresql
    Secteur : Conseil

    Informations forums :
    Inscription : Mai 2002
    Messages : 21 736
    Points : 52 447
    Points
    52 447
    Billets dans le blog
    5
    Par défaut
    J'ai déjà eu l'occasion de dire qu'en matière de sécurité des données, l'usage des outils "libre" que sont Linux, ou bien les bases de données "libres" que sont MySQL, MariaDB ou PostGreSQL sont de véritables passoires faciles à attaquer.

    En effet, sous Linux, il est impossible de verrouiller les fichiers de données de la base contrairement à l'OS Windows. Le fait de verrouiller les fichiers empêche toute lecture, copie, ou modification de ces fichiers. Par exemple, les fichiers des bases Microsoft SQL Server sous Windows sont verrouillés ne peuvent pas être attaqués. Ceci est impossible sous Linux... Il est alors très facile, une fois le système pénétré, de voler ou modifier les fichiers des bases...

    De plus, MySQL, MariaDB ou PostGreSQL ayant été développé avec un modèle de gestion du stockage des données qui confie à l'OS les accès aux fichiers, reproduit l'approche Linux sous Windows. Il en résulte le même problème sous Windows pour ces systèmes de bases de données.

    Or que trouve t-on chez cet éditeur (Dedalus) ?
    • L'utilisation de Linux Debian comme OS
    • Une base de données Oracle
    • Des bases de données MySQL/MariaDB (pour la partie Web)

    Bref toutes les passoires possibles !

    De plus, le chiffrement des données dans les systèmes de bases de données que sont MySQL, MariaDB ou PostGreSQL n'est pas intégré à la base comme le font Oracle Database ou Microsoft SQL Server. Pour que le chiffrement des données fonctionne, il faut, dans MySQL, MariaDB ou PostGreSQL, à un moment donné, dans des fichiers côté serveur ou dans le code des applications, exposer la clé de chiffrement en clair. Ce n'est pas le cas dans Oracle ou SQL Server dont les clés de chiffrement sont stockées dans la base, masqués, chiffrées, et dépendante d'une hiérarchie de chiffrement qui remonte au moteur du SGBD, ce qui interdit le déchiffrement des données chiffrées si l'on ne peut reproduire l'ensemble de l'architecture de chiffrement depuis le plus haut niveau...

    Dans les bases de données que sont MySQL, MariaDB ou PostGreSQL (pg_crypto) la sécurité du chiffrement est équivalente à celle d'une voiture fermée à clé, mais dont la clé serait laissée sur une des serrures de portière ! Bref, dans ces SGBDR, le chiffrement n'est que cosmétique et non réfléchis.

    Dans toutes les récentes attaques, dans les hôpitaux, comme pour cet éditeur de solutions de laboratoires ont retrouve ces mêmes logiciels passoire !

    Ajoutons à cela que le code source du logiciel libre étant disponible, il en plus facile d'en trouver les failles que celui dans celui des grands éditeurs qui ne le rende pas public.

    Enfin, de récentes études ont montré que dans le libre, le nombre de bugs et de vulnérabilité était souvent beaucoup plus important que dans les systèmes de bases de données commerciaux, et la correction bien moins rapide...

    Ceux qui ont prôné le logiciel libre sans en mesurer les conséquences ont une grave responsabilité dans ces affaires !
    Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
    Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
    Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
    Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
    Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
    * * * * * Expertise SQL Server : http://mssqlserver.fr/ * * * * *

  6. #6
    Membre confirmé
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    133
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 133
    Points : 564
    Points
    564
    Par défaut
    J'ai comme l'impression qu'une peine de prison pour le DSI responsable ainsi que pour les éventuels sous traitants réduirait drastiquement le nombre de vols de données. Actuellement, la sécurité n'est vue que comme un coût inutile. Le jour où il y aura des morts, les choses évolueront peut-être

  7. #7
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 562
    Points : 7 262
    Points
    7 262
    Par défaut
    Citation Envoyé par SQLpro Voir le message
    J'ai déjà eu l'occasion de dire qu'en matière de sécurité des données, l'usage des outils "libre" que sont Linux, ou bien les bases de données "libres" que sont MySQL, MariaDB ou PostGreSQL sont de véritables passoires faciles à attaquer.

    En effet, sous Linux, il est impossible de verrouiller les fichiers de données de la base contrairement à l'OS Windows. Le fait de verrouiller les fichiers empêche toute lecture, copie, ou modification de ces fichiers. Par exemple, les fichiers des bases Microsoft SQL Server sous Windows sont verrouillés ne peuvent pas être attaqués. Ceci est impossible sous Linux... Il est alors très facile, une fois le système pénétré, de voler ou modifier les fichiers des bases...

    De plus, MySQL, MariaDB ou PostGreSQL ayant été développé avec un modèle de gestion du stockage des données qui confie à l'OS les accès aux fichiers, reproduit l'approche Linux sous Windows. Il en résulte le même problème sous Windows pour ces systèmes de bases de données.

    Or que trouve t-on chez cet éditeur (Dedalus) ?
    • L'utilisation de Linux Debian comme OS
    • Une base de données Oracle
    • Des bases de données MySQL/MariaDB (pour la partie Web)

    Bref toutes les passoires possibles !

    De plus, le chiffrement des données dans les systèmes de bases de données que sont MySQL, MariaDB ou PostGreSQL n'est pas intégré à la base comme le font Oracle Database ou Microsoft SQL Server. Pour que le chiffrement des données fonctionne, il faut, dans MySQL, MariaDB ou PostGreSQL, à un moment donné, dans des fichiers côté serveur ou dans le code des applications, exposer la clé de chiffrement en clair. Ce n'est pas le cas dans Oracle ou SQL Server dont les clés de chiffrement sont stockées dans la base, masqués, chiffrées, et dépendante d'une hiérarchie de chiffrement qui remonte au moteur du SGBD, ce qui interdit le déchiffrement des données chiffrées si l'on ne peut reproduire l'ensemble de l'architecture de chiffrement depuis le plus haut niveau...

    Dans les bases de données que sont MySQL, MariaDB ou PostGreSQL (pg_crypto) la sécurité du chiffrement est équivalente à celle d'une voiture fermée à clé, mais dont la clé serait laissée sur une des serrures de portière ! Bref, dans ces SGBDR, le chiffrement n'est que cosmétique et non réfléchis.

    Dans toutes les récentes attaques, dans les hôpitaux, comme pour cet éditeur de solutions de laboratoires ont retrouve ces mêmes logiciels passoire !

    Ajoutons à cela que le code source du logiciel libre étant disponible, il en plus facile d'en trouver les failles que celui dans celui des grands éditeurs qui ne le rende pas public.

    Enfin, de récentes études ont montré que dans le libre, le nombre de bugs et de vulnérabilité était souvent beaucoup plus important que dans les systèmes de bases de données commerciaux, et la correction bien moins rapide...

    Ceux qui ont prôné le logiciel libre sans en mesurer les conséquences ont une grave responsabilité dans ces affaires !
    Bravo Sherlock! C'est vrai que SolarWinds, c'est arrivé sur du LInux avec du code libre et ouvert... Vous avez passé les derniers mois sans Internet???

    Ce serait bien d'éviter de détourner le problème pour vendre votre tambouille: on ne devrait pas collecter et stocker plus de données que nécessaire. Des manières d'exfiltrer des données, il y en aura toujours, et si la DB est trop sécurisée eh bien les attaquants trouveront une faille dans les logiciels clients: ce ne sera ni la première fois, ni la dernière.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  8. #8
    Rédacteur

    Avatar de SQLpro
    Homme Profil pro
    Expert bases de données / SQL / MS SQL Server / Postgresql
    Inscrit en
    Mai 2002
    Messages
    21 736
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Expert bases de données / SQL / MS SQL Server / Postgresql
    Secteur : Conseil

    Informations forums :
    Inscription : Mai 2002
    Messages : 21 736
    Points : 52 447
    Points
    52 447
    Billets dans le blog
    5
    Par défaut
    Citation Envoyé par kain_tn Voir le message
    .... si la DB est trop sécurisée eh bien les attaquants trouveront une faille dans les logiciels clients: ce ne sera ni la première fois, ni la dernière.
    Trop sécurisé avec des SGBD passoires comme MySQL ou Oracle ?

    Nom : CVE in databases.jpg
Affichages : 720
Taille : 27,9 Ko

    https://stack.watch/stats/2020/
    Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
    Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
    Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
    Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
    Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
    * * * * * Expertise SQL Server : http://mssqlserver.fr/ * * * * *

  9. #9
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 562
    Points : 7 262
    Points
    7 262
    Par défaut
    Citation Envoyé par SQLpro Voir le message
    Trop sécurisé avec des SGBD passoires comme MySQL ou Oracle ?

    Nom : CVE in databases.jpg
Affichages : 720
Taille : 27,9 Ko

    https://stack.watch/stats/2020/
    Non, c'était une référence à l'utilisation de MS SQL, mais libre à vous de l’interpréter comme vous voulez.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  10. #10
    Nouveau membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    Novembre 2020
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente Maritime (Poitou Charente)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Novembre 2020
    Messages : 5
    Points : 37
    Points
    37
    Par défaut
    "franchement un laboratoire d'analyse, ça analyse un prélèvement et pas autre chose."
    Un laboratoire d'analyse ne fait pas qu'analyser les prélèvements, il y a systématiquement des médecins biologistes qui interprètent les résultats des analyses, pour prévenir au plus tôt les médecins / patients en cas de perturbations.
    La date de naissance, le sexe, et même l'origine ethnique va influer sur les résultats.

    "les commentaires sur l'état de santé des patient"
    Là encore, les commentaires sont importants pour les futures interprétations des biologistes, leur permettant de contacter au mieux les médecins / patients

    "Du coup, que des laboratoires stock numéro de sécu + Nom + Prénom + Date de naissance + groupe sanguin + adresse + médecin + commentaire, ça leurs sert à quoi exactement ? Le numéro de sécu devrait leur suffire puisqu'il leur donne accès à tout le reste de façon indirecte et au besoin."
    Les laboratoires stockent toutes ces informations car il serait bien trop couteux en temps de requêter à l'assurance maladie dès que l'on souhaite afficher simplement un nom / prénom, sans compter les personnes qui n'ont pas de cartes vitale.

  11. #11
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 562
    Points : 7 262
    Points
    7 262
    Par défaut
    Citation Envoyé par JCornat Voir le message
    "franchement un laboratoire d'analyse, ça analyse un prélèvement et pas autre chose."
    Un laboratoire d'analyse ne fait pas qu'analyser les prélèvements, il y a systématiquement des médecins biologistes qui interprètent les résultats des analyses, pour prévenir au plus tôt les médecins / patients en cas de perturbations.
    La date de naissance, le sexe, et même l'origine ethnique va influer sur les résultats.

    "les commentaires sur l'état de santé des patient"
    Là encore, les commentaires sont importants pour les futures interprétations des biologistes, leur permettant de contacter au mieux les médecins / patients

    "Du coup, que des laboratoires stock numéro de sécu + Nom + Prénom + Date de naissance + groupe sanguin + adresse + médecin + commentaire, ça leurs sert à quoi exactement ? Le numéro de sécu devrait leur suffire puisqu'il leur donne accès à tout le reste de façon indirecte et au besoin."
    Les laboratoires stockent toutes ces informations car il serait bien trop couteux en temps de requêter à l'assurance maladie dès que l'on souhaite afficher simplement un nom / prénom, sans compter les personnes qui n'ont pas de cartes vitale.
    Soit. Donc pour "gagner du temps" ils stockent des infos dont ils n'ont pas besoin. Et voilà le résultat...
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  12. #12
    Nouveau membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    Novembre 2020
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente Maritime (Poitou Charente)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Novembre 2020
    Messages : 5
    Points : 37
    Points
    37
    Par défaut
    Citation Envoyé par kain_tn Voir le message
    Soit. Donc pour "gagner du temps" ils stockent des infos dont ils n'ont pas besoin. Et voilà le résultat...
    Ce n'est pas uniquement pour "gagner du temps", c'est que ce n'est tout simplement pas envisageable techniquement de ne rien stocker.
    Que faire dans le cas d'un enfant qui a le même numéro que son parent ?
    Sans stocker ni sa date de naissance, ni son sexe, ni son nom, ni rien à part son numéro qui n'est donc pas unique, les biologistes se retrouveraient avec un tube analysé sans aucun contexte, et c'est le contexte qui fait la pertinence du résultat.

  13. #13
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 562
    Points : 7 262
    Points
    7 262
    Par défaut
    Citation Envoyé par JCornat Voir le message
    Ce n'est pas uniquement pour "gagner du temps", c'est que ce n'est tout simplement pas envisageable techniquement de ne rien stocker.
    Que faire dans le cas d'un enfant qui a le même numéro que son parent ?
    Sans stocker ni sa date de naissance, ni son sexe, ni son nom, ni rien à part son numéro qui n'est donc pas unique, les biologistes se retrouveraient avec un tube analysé sans aucun contexte, et c'est le contexte qui fait la pertinence du résultat.
    Oui, ça je suis prêt à l'entendre, mais entre stocker la date de naissance de l'enfant (qui n'est certainement pas né en même temps que ses parents!), voire son même son prénom s'il a un jumeau et la stocker en plus de son nom, de son prénom, des commentaires et tout le foin, il y a de la marge, non?

    On ne dit pas qu'il ne faut rien stocker, mais uniquement le strict nécessaire.

    Pareil pour la remarque sur ceux qui n'ont pas de carte vitale: on stocke tout sur tout le monde, quelque soit le cas, que l'on en ait besoin ou pas, juste au cas où. Et c'est bien ça le problème. Ça constitue des bases de données alléchantes pour qui veut exploiter la donnée.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  14. #14
    Modérateur
    Avatar de tourlourou
    Homme Profil pro
    Biologiste ; Progr(amateur)
    Inscrit en
    Mars 2005
    Messages
    3 844
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Biologiste ; Progr(amateur)

    Informations forums :
    Inscription : Mars 2005
    Messages : 3 844
    Points : 11 274
    Points
    11 274
    Billets dans le blog
    6
    Par défaut
    Citation Envoyé par JCornat Voir le message
    "franchement un laboratoire d'analyse, ça analyse un prélèvement et pas autre chose."
    Un laboratoire d'analyse ne fait pas qu'analyser les prélèvements, il y a systématiquement des médecins ou pharmaciens biologistes qui interprètent les résultats des analyses, pour prévenir au plus tôt les médecins et autres prescripteurs / patients en cas de perturbations.
    La date de naissance, le sexe, et même l'origine ethnique va influer sur les résultats. sur leurs intervalles de référence, plutôt

    "les commentaires sur l'état de santé des patient"
    Là encore, les commentaires sont importants pour les futures interprétations des biologistes, leur permettant de contacter au mieux les médecins / patients

    "Du coup, que des laboratoires stock numéro de sécu + Nom + Prénom + Date de naissance + groupe sanguin + adresse + médecin + commentaire, ça leurs sert à quoi exactement ? Le numéro de sécu devrait leur suffire puisqu'il leur donne accès à tout le reste de façon indirecte et au besoin."
    Les laboratoires stockent toutes ces informations car il serait bien trop couteux en temps de requêter à l'assurance maladie dès que l'on souhaite afficher simplement un nom / prénom, sans compter les personnes qui n'ont pas de cartes vitale.
    Bonjour,

    JCornat a raison (quelques précisions en rouge), tandis que defZero a une vision passéiste et inexacte de la profession. En Europe, la biologie a simultanément évolué vers l'industrialisation de l'acte d'analyse et la médicalisation pour son interprétation.
    Nous avons besoin de données d'état-civil, administratives et médicales, sans compter celles que nous produisons et devons conserver un temps minimal, précieuses aux fins de comparaison, suivi d'évolution, etc.

    Se fier à un numéro sécu pour récupérer des infos d'état-civil est utopique en termes de temps. Et quant à leur fiabilité (j'ai conscience que leur collecte in-situ est sujette à problèmes aussi !) et aux délais pour faire corriger à la CPAM un prénom mal orthographié (Simonnne) ou lorsqu'une assurée souhaite reprendre son nom de naissance après séparation... Des évolutions viendront, cependant.

    Nous sommes aussi tributaires d'échanges avec des organismes, sous des formats imposés, parfois archaïques (résultats, facturations, statistiques Covid, etc.) et l'efficacité est d'utiliser des données collectées une fois (malheureusement, pas toujours en une seule fois...) plutôt que de les récupérer à la demande de nombreuses fois.

    [EDIT]
    Citation Envoyé par kain_tn
    On ne dit pas qu'il ne faut rien stocker, mais uniquement le strict nécessaire.
    Ce qui fait beaucoup : état-civil, adresse (on poste encore des résultats, et on a parfois besoin d'envoyer le SAMU pour un résultat critique chez un patient injoignable), téléphone (pour communiquer au plus vite un résultat ou obtenir les renseignements indispensables si le prélèvement s'est fait en dehors du laboratoire), données de traitements nécessaires en cas de dosages de médicaments, etc.

    La biologie est médicale, ne pouvant donc se concevoir sans contextualisation pour son interprétation, et accréditée dans un cadre strict (NF/ISO 15189) avec un Guide technique d'accréditation pour l’évaluation des systèmes informatiques en biologie médicale à respecter.
    Delphi 5 Pro - Delphi 10.4 Rio Community Edition - CodeTyphon 6.90 sous Windows 10 ; CT 6.40 sous Ubuntu 18.04 (VM)
    . Ignorer la FAQ Delphi et les Cours et Tutoriels Delphi nuit gravement à notre code !

  15. #15
    Expert éminent sénior
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système Unix - Linux
    Inscrit en
    Juillet 2012
    Messages
    1 465
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système Unix - Linux

    Informations forums :
    Inscription : Juillet 2012
    Messages : 1 465
    Points : 10 994
    Points
    10 994
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Dedalus France avait déjà fait l'objet d'un billet en 2020. Jeudi 2 avril 2020, en plein confinement imposé par l'épidémie de Covid-19, un jeune développeur web employé par le groupe d'informatique hospitalier Dedalus est mis à pied à titre conservatoire et convoqué à un entretien préalable à un « éventuel » licenciement pour faute grave. Dans ce courrier, il lui est alors reproché des faits datant du 25 mars 2020.

    Contacté par TICsanté, l'ex-développeur web de Dedalus a expliqué qu'à cette date, il avait déjà identifié une faille de sécurité importante dans le logiciel destiné aux laboratoires de biologie médicale KaliLab, pouvant « permettre d'accéder comme administrateur aux infrastructures informatiques de plus de 150 laboratoires d'établissements de santé ».

    La porte d'entrée de ces serveurs pouvait être déverrouillée grâce à une clé privée de Dedalus... à laquelle il n'aurait pas dû avoir accès.
    (.../...)

    « Nous rappelons qu'en interne, l'accès à cette clé est réservé aux développeurs de l'intranet Dedalus Biologie. Cette clé a été récupérée sur une adresse URL précise et sans recherche préalable », a expliqué l'éditeur dans sa missive, se référant « à des traces d'accès » au serveur web prélevées le 25 mars « dès 13h26, soit 1h30 après que vous l'avez vous-même récupérée en votre qualité de développeur », reprochait-il à son salarié.

    L'ex-développeur web s’est défendu : il a signalé cette faille en janvier 2020 et alerté à plusieurs reprises ses dirigeants français et même le PDG italien du groupe dès le début du mois de mars, avant de prévenir le fonctionnaire chargé de la sécurité des systèmes d'information (FSSI) du ministère des Solidarités et de la Santé, Philippe Loudenot, de cette faille importante et pouvant affecter le fonctionnement des établissements de santé clients, alors pleinement engagés dans la lutte contre l'épidémie de Covid-19.
    (.../...)

    «  Il n’y a pas de faille de sécurité et il n’y en a jamais eu », lançait alors Didier Neyrat, directeur général délégué de Dedalus France.
    (.../...)
    Donc, la branche française d'une société qui a 3 600 collaborateurs dans le monde, 1200 collaborateurs en R&D (cf. dedalus - a propos) tape allègrement sur un jeune développeur web qui découvre ce qu'on appelle une porte dérobée (backdoor), qui fait son devoir d'alerte, etc.

    Tiens, en France, les «responsables mais pas coupables» ne changent pas beaucoup; ça me rappelle Serge Humpich * dans les années 90 avec le GIE Cartes Bancaires.

    Particulièrement intéressé par l'enquête et les éventuelles suites judiciaires pour le développeur et le patron...

    *
    [Edit]
    En 1997, il met en évidence une faille dans le système de sécurité des cartes bancaires. Cette faille permet de créer des cartes acceptées par les terminaux, mais non liées à un compte bancaire.

    Épaulé par un avocat, il tente – sans succès – de négocier[réf. nécessaire] son « savoir-faire » auprès du GIE des cartes bancaires. Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant un carnet de tickets de métro au moyen d'une carte de sa fabrication dans un distributeur automatique. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue.

    Il est jugé le 25 février 2000, « coupable de falsification de cartes bancaires et d'introduction frauduleuse dans un système automatisé de traitement ». Et cela, malgré de nombreux soutiens envers son geste, qui a mis en évidence des failles techniques et de conception à corriger dans ces cartes bancaires. Il est condamné à 10 mois de prison avec sursis et s'est ensuite désisté de la procédure d'appel qu'il avait lui-même engagée. À l'issue de cette condamnation, il écrit un livre, Le cerveau bleu, pour relater sa version de l'affaire.

    Ensuite, il fonde une entreprise aux États-Unis et quelques années plus tard, revient en France où il travaille pour la société Bearstech
    « Developpez.com est un groupe international de bénévoles dont la motivation est l'entraide au sens large » (incl. forums developpez.net)
    Club des professionnels en informatique

  16. #16
    Membre confirmé
    Homme Profil pro
    nope
    Inscrit en
    Décembre 2012
    Messages
    122
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : nope

    Informations forums :
    Inscription : Décembre 2012
    Messages : 122
    Points : 466
    Points
    466
    Par défaut
    Citation Envoyé par ARKHN3B Voir le message
    La donnée - et par conséquent l'enjeu de son exploitation - est le nouvel eldorado du 21ème siècle.

    Si ils récupèrent autant d'informations, c'est qu'ils en font quelque chose derrière. Rappelons que le secteur de la santé est un secteur très lucratif...

    Si la données stockée n'a qu'un seul but c'est d'être revendue cela va à l'encontre d'RGPD.
    Toute données stockées doit être justifiable d'un point de vue métier.

    Ce serait bien de contrôler ce genre d'établissement juste par principe !

  17. #17
    Membre régulier
    Profil pro
    Inscrit en
    Février 2007
    Messages
    55
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2007
    Messages : 55
    Points : 70
    Points
    70
    Par défaut
    Le problème de Dedalus (ex Medasys) n'est pas les SGBD, mais les produits qu'ils ont acheté.
    Ces produits viennent de société différentes, et sont basés sur Hyperfile (Windev), Postgesql, Mysql, Oracle et j'en oublie.

    On a du Php, du basic, du perl, windev, du client, du web....

    Lorsqu'on a un SIL (SGL) développez à partir de WampServer on peut comprendre l'amateurisme.

    Concernant le contenu des fichiers, dans ces logiciels on y met des données administratives, des données médicales, et bien entendu les résultats d'analyses biologiques.

  18. #18
    Modérateur
    Avatar de tourlourou
    Homme Profil pro
    Biologiste ; Progr(amateur)
    Inscrit en
    Mars 2005
    Messages
    3 844
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Biologiste ; Progr(amateur)

    Informations forums :
    Inscription : Mars 2005
    Messages : 3 844
    Points : 11 274
    Points
    11 274
    Billets dans le blog
    6
    Par défaut
    Citation Envoyé par solstyce39 Voir le message
    Si la données stockée n'a qu'un seul but c'est d'être revendue cela va à l'encontre d'RGPD
    Le RGPD instaure des règles et des sanctions (très lourdes, d'ailleurs), mais je pense que la violation du secret médical (auquel sont astreints les laboratoires) est bien plus durement sanctionnée encore...
    J'imagine mal qu'on puisse s'y risquer. Mais après tout, le jeu en vaut peut-être la chandelle ? Combien valent ces informations ?
    Delphi 5 Pro - Delphi 10.4 Rio Community Edition - CodeTyphon 6.90 sous Windows 10 ; CT 6.40 sous Ubuntu 18.04 (VM)
    . Ignorer la FAQ Delphi et les Cours et Tutoriels Delphi nuit gravement à notre code !

  19. #19
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 562
    Points : 7 262
    Points
    7 262
    Par défaut
    Citation Envoyé par tourlourou Voir le message
    Le RGPD instaure des règles et des sanctions (très lourdes, d'ailleurs), mais je pense que la violation du secret médical (auquel sont astreints les laboratoires) est bien plus durement sanctionnée encore...
    Oui, enfin le souci avec le RGPD c'est qu'il est possible de trouver des excuses pour justifier l'utilisation des données. Par contre, c'est vrai qu'il y a des obligations sur la sécurisation des données, et que tu as raison pour les sanctions. Il y a aussi obligation de prévenir les victimes en cas de fuite de données.

    Je ne pense pas que la violation du secret médical s'applique ici, à moins qu'il s'agisse d'une fuite intentionnelle de la part du personnel des labos, mais je peux me tromper.

    Citation Envoyé par tourlourou Voir le message
    J'imagine mal qu'on puisse s'y risquer. Mais après tout, le jeu en vaut peut-être la chandelle ? Combien valent ces informations ?
    Ah ben ça dépend à qui tu les vends. Des informations médicales, ça intéresserait beaucoup d'assurances, et des employeurs aussi. Après, difficile de fixer un prix absolu mais:

    A complete medical record can fetch the same $1,000 price, although, like the bank account, the value depends on what it contains. Such details can be sold to insurance companies or even used for blackmail, but the less it contains, the less value it will command.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  20. #20
    Membre habitué
    Homme Profil pro
    Inscrit en
    Mai 2003
    Messages
    74
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Mai 2003
    Messages : 74
    Points : 133
    Points
    133
    Par défaut Autant de bêtises appellent nécessairement une réaction !
    Citation Envoyé par SQLpro Voir le message
    J'ai déjà eu l'occasion de dire qu'en matière de sécurité des données, l'usage des outils "libre" que sont Linux, ou bien les bases de données "libres" que sont MySQL, MariaDB ou PostGreSQL sont de véritables passoires faciles à attaquer.

    En effet, sous Linux, il est impossible de verrouiller les fichiers de données de la base contrairement à l'OS Windows. Le fait de verrouiller les fichiers empêche toute lecture, copie, ou modification de ces fichiers. Par exemple, les fichiers des bases Microsoft SQL Server sous Windows sont verrouillés ne peuvent pas être attaqués. Ceci est impossible sous Linux... Il est alors très facile, une fois le système pénétré, de voler ou modifier les fichiers des bases...

    De plus, MySQL, MariaDB ou PostGreSQL ayant été développé avec un modèle de gestion du stockage des données qui confie à l'OS les accès aux fichiers, reproduit l'approche Linux sous Windows. Il en résulte le même problème sous Windows pour ces systèmes de bases de données.

    Or que trouve t-on chez cet éditeur (Dedalus) ?
    • L'utilisation de Linux Debian comme OS
    • Une base de données Oracle
    • Des bases de données MySQL/MariaDB (pour la partie Web)

    Bref toutes les passoires possibles !

    De plus, le chiffrement des données dans les systèmes de bases de données que sont MySQL, MariaDB ou PostGreSQL n'est pas intégré à la base comme le font Oracle Database ou Microsoft SQL Server. Pour que le chiffrement des données fonctionne, il faut, dans MySQL, MariaDB ou PostGreSQL, à un moment donné, dans des fichiers côté serveur ou dans le code des applications, exposer la clé de chiffrement en clair. Ce n'est pas le cas dans Oracle ou SQL Server dont les clés de chiffrement sont stockées dans la base, masqués, chiffrées, et dépendante d'une hiérarchie de chiffrement qui remonte au moteur du SGBD, ce qui interdit le déchiffrement des données chiffrées si l'on ne peut reproduire l'ensemble de l'architecture de chiffrement depuis le plus haut niveau...

    Dans les bases de données que sont MySQL, MariaDB ou PostGreSQL (pg_crypto) la sécurité du chiffrement est équivalente à celle d'une voiture fermée à clé, mais dont la clé serait laissée sur une des serrures de portière ! Bref, dans ces SGBDR, le chiffrement n'est que cosmétique et non réfléchis.

    Dans toutes les récentes attaques, dans les hôpitaux, comme pour cet éditeur de solutions de laboratoires ont retrouve ces mêmes logiciels passoire !

    Ajoutons à cela que le code source du logiciel libre étant disponible, il en plus facile d'en trouver les failles que celui dans celui des grands éditeurs qui ne le rende pas public.

    Enfin, de récentes études ont montré que dans le libre, le nombre de bugs et de vulnérabilité était souvent beaucoup plus important que dans les systèmes de bases de données commerciaux, et la correction bien moins rapide...

    Ceux qui ont prôné le logiciel libre sans en mesurer les conséquences ont une grave responsabilité dans ces affaires !
    Réduire ce problème de «*piratage*» a du SQLserver/Win vs Mysql/PostgreSQL etc c’est vraiment n’importe quoi.

    Je vais forcer le trait «*à peine*» . L’avenir (Et déjà le présent en réalité) des base de données c’est le cloud et le cloud orienté Linux et consort donc parler de Windows qui est perfusé à cous de Linux avec WSL ... je ne suis pas anti Windows par ailleurs même si je suis passé sur Mac 💻 , j’ai toujours un xps 13 .

    L’avenir et le présent c’est les micro-service, des fonction dans le cloud et des bases qui sont auto gérées et propose / suggèrent des index toutes seules avec beaucoup d’optimisation qui nous facilitent la vie...

    Le fait que tel ou tel base ne propose pas tel chiffrement alors que SQLserver le fait bof , ce n’est pas significatif. Quand je veux faire quelque chose de pointu en chiffrement, j’utilise la lib, le composant qui va bien , je le développe ou fait appel à un spécialiste...le jour où le chiffrement est mort , on update que le composant en question et c’est très bien comme ça.
    Ça me rappelle quand j’ai vu les bdd générer du html avec des commande SQL... beurk 🤮

    Le fond du problème est simple , l’informatique des hôpitaux est une passoire, je parle en connaissance de cause puisque ayant conduit dès projet dans le domaine ch publique ou centre de recherche privé plein d’argent.
    Mot de passe admin de bdd facilement accessible et avec full access sans trop chercher. Ça c’est le premier point.

    Le deuxième c’est l’incompétence : quand tu vois que la plupart des gens de l’informatique viennent historiquement du service cuisine... Des gens qui ne savent pas découper correctement un hprim / Xml ,
    qu’on vire l’admin Oracle parce que elle sert à rien...

    y a aussi les DSI qui font en sorte de maintenir un système merdique pour se rendre utile...🤔 et qui ne connaissent rien à un SIH ni à la sécurité sur le plan technique de l’authentification d’une application à base de token... 😱

    Je ne parle pas ds copies de bases de données en partage et des archives pst oubliés sur le reseau... même les partage masques sous Windows étaient inconnus de la DSI....

    Bref j’arrête. J’ai encore des potes qui gravitent là dedans et ça n’a pas changé... 😥

    Quand au budget, c’est pas le principal problème, c’est l’utilisation qui en est fait. Répondre à un appel à projet pour toucher un maximum de pognon de l’état pour en utiliser 35% et le reste sur d’autres poste de dépense, c’est un sport national...
    +--------------------------------------------------+
    Avec le TGV Marseille est devenue la banlieue de paris,
    Et avec Internet le monde est de plus en plus petit,
    Mais ce n'est pas une raison pour aller polluer
    L'espace
    +--------------------------------------------------+

Discussions similaires

  1. Réponses: 0
    Dernier message: 05/04/2020, 19h18
  2. Réponses: 40
    Dernier message: 06/01/2019, 18h12
  3. Réponses: 2
    Dernier message: 12/09/2018, 07h06
  4. Réponses: 3
    Dernier message: 23/01/2018, 11h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo