Ton dossier médical sur Internet

Le cas n’est pas isolé puisqu’en février dernier, Actusoins révélait les résultats de son enquête sur l’accessibilité en ligne des données médicales. Il suffisait de taper le nom d’un médecin suivi de la mention « hopital foch » pour accéder au serveur de l’hosto de Suresne et se taper la totalité des dossiers de ses patients.

Voilà quelques mois que l’on parle de ces questions de sécurité de données médicales. Le marché est florissant et visiblement, tous les acteurs ne mettent pas le même entrain à chiffrer, puisque une Marseillaise à découvert, tranquillette en surfant sur la toile, son dossier médical en ligne.

Capture

Le cas n’est pas isolé puisqu’en février dernier, Actusoins révélait les résultats de son enquête sur l’accessibilité en ligne des données médicales. Il suffisait de taper le nom d’un médecin suivi de la mention « hopital foch » pour accéder au serveur de l’hosto de Suresne et se taper la totalité des dossiers de ses patients.

La faille a été réparée depuis mais il a quand même été possible d’accéder en quelques clics aux dossiers médicaux pendant plusieurs mois. C’est la non sécurisation en amont des données et le fait qu’il ait fallu que l’article sorte pour que l’administration hospitalière daigne prendre les choses en main qui est ici problématique.

Business de la protection sociale

Mieux ! le site révélait aussi que les listings étaient accessibles et que l’on pouvait ainsi connaitre jusqu’au numéro de chambre des patients et le service dans lequel ils étaient soignés… De quoi déduire, pour certains d’entre eux, que la personne hospitalisée est atteinte d’une grave maladie.

Les conséquences sont désastreuses puisque si fuite de données médicales il y a, les assurances peuvent s’en servir pour refuser de prendre en charge tel ou tel patient, pour augmenter leurs tarifs suivant les problèmes médicaux des personnes… Le business de la protection sociale que cela pourrait entraîner s’ajouterait donc à la violation de vie privée.

L’enquête pointe aussi du doigt la volonté de certaines administrations hospitalières à refuser de faire appel à des sociétés agréées par l’Etat, qui garantissent la protection de ces données médicales. Elles préfèreraient auto-héberger leurs données dans des conditions de sécurité déplorables plutôt que de dépenser le budget nécessaire.

Social engineering et journalisme #2

Nous, journalistes, sans le savoir, pratiquons de temps à autres le social engineering. C’est ce dont je me suis aperçue, il y a presque un an, en lisant l’art de la supercherie de Mitnick et en me disant « hey, mais ça, déjà essayé » ou « ben oui, ça c’est un truc de journalistes ! » On ne va pas revenir à la poule, l’oeuf et le couteau, mais toujours est-il que le SE, est pratiqué, tout naturellement par les journalistes de terrain, sans qu’ils mettent cette expression sur leur comportement.

Nous, journalistes, sans le savoir, pratiquons de temps à autres le social engineering. C’est ce dont je me suis aperçue, il y a presque un an, en lisant l’art de la supercherie de Mitnick et en me disant « hey, mais ça, déjà essayé » ou « ben oui, ça c’est un truc de journalistes ! » On ne va pas revenir à la poule, l’oeuf et le couteau, mais toujours est-il que le SE, est pratiqué, tout naturellement par les journalistes de terrain, sans qu’ils mettent cette expression sur leur comportement.

Basics

Même le plus jeune des stagiaires, le plus débutant des plumitifs, saurait mettre à l’aise son interlocuteur. Le bloc note passe encore, mais un micro ou une caméra rebuttent parfois certaines personnes. Il faut donc les mettre en confiance, sinon elles auront du mal à parler (fichiers non exploitables) ou ne donneront que des infos basiques, facilement trouvées ailleurs, voire déjà énumérées en conférence de presse. Or, on en veut plus, on veut autrechose, parfois la conf de presse est l’occasion de croiser cette personne à qui on a besoin de poser d’autres questions, sur un tout autre sujet.

Si elle se braque, impossible. D’où l’importance du SE. Cela passe par deux ou trois questions légères, qui ne servent à rien. Les trois premières minutes sont en général à jeter. On demande à la personne de se présenter, ah, tiens, peut-être a-t-elle un lien de parenté avec telle personne qu’on est supposé connaître (merci Internet….) ? Oui ? Un mi, voyons, un ami d’ailleurs, la semaine dernière… Et voilà notre bon vieux sceptique qui oublie la caméra. Les choses sérieuses peuvent donc commencer.

Les politiques seront moins faciles. Dans leur cas, pas de problème de micro, mais communication bien huilée. Il savent que dire sur le sujet évoqué, bottent en touche quand on sort des clous. « C’est bizare parce que j’avais telle info en provenance de « quelqu’un qui bosse dans votre cabinet… » vrai ? faux ?  On joue au poker. « et monsieur Machin, avec qui vous êtes en affaires… » Dans ces cas là, la maîtrise des dossiers, des réseaux, est un atout.
Evidemment, je le situe dans un contexte franco-français. En Egypte, par exemple, du temps de Moubarak, il était plus facile d’avoir le numéro de téléphone portable d’un ministre (5 à 6 minutes montre en main… Ils adoraient parler) que d’avoir des chiffres en provenance du sacro-saint ministère de l’intérieur.

On notera, aussi, l’importance d’aborder le même niveau de langue que la personne interviewée, le vocabulaire compte beaucoup. Si la personne se sent « entre soi » elle parlera plus facilement. Qu’il s’agisse d’un sans-abri ou d’une personne à un poste clé dans la hiérarchie des entreprises. Dans le même sens, montrer qu’on connait le dossier, en citant des noms, des évènement, des lieux, peu importe, est toujours un plus.

Au final, il est parfois important de « donner » pour « recevoir », parce que la nature humaine est ainsi faite. Cela participe à la mise en confiance de l’interlocuteur, il se set plus riche de ce que vous lui apportez, un détail sur un dossier qu’l ignore, par exemple, et va se sentir obligé de faire pareil à son tour.

Prise de notes

J’ouvrais de grands yeux quand on me disait de tracer une marge sur mes blocs. Pas moyen, on n’est plus à l’école je ne souligne pas en rouge et j’ai arrêté les titres en vert. D’où le scepticisme des étudiants en journalisme quand je leur explique que tracer une marge, c’est cool pour la suite. Ils accueillent mieux l’astuce aujourd’hui quand je leur présente de manière un peu plus sexy : « On va faire du social ingineering » c’est quoi donc ? « les techniques du hacking appliquées aux rapports humains… » observer, démonter, comprendre, remonter pour en faire ce que l’on souhaite… Exactement comme je suis en train e le faire avec eux. Mais ça, ils ne le captent pas.

Donc la marge, c’est sexy. Si, si. Pourquoi donc ? Parce que ça te permet, par exemple, de noter à quel moment la personne fait une grimace lorsqu’elle te parle. même rapidement. ça permet de noter quand la personne cogite en jouant avec sa/ses bagues,  ou sa cravate, quand elle se touche le bout des doigts tout autour des ongles, quand son regard est fuyant. C’est ce que l’on appelle des micro-réactions pour les expressions qu’ils s’agissent d’expressions corporelles ou de mimiques.

De retour d’interview, à mort le reste des notes. Ce qui va m’intéresser, ce sont les infos qui se cachent derrière ces micro-expressions. Est-ce que la personne ment ? pourquoi ? m’a-t-elle caché une partie des infos ? pourquoi à ce moment là a-t-elle été mal à l’aise ? C’est ici que commence la recherche d’infos. Pas dans ce qui est noté tout autour.

tumblr_md6t9a2kEu1r2wy4no1_500

Ailleurs

Si on sort du contexte franco-français, bien entendu, il va être question de culture locale à laquelle il faudra s’adapter. Mais pas que… On peut aussi l’utiliser. c’est ce que j’ai tenté lors de mon entrée en Syrie, le dernier jour de mars 2011. Après le point visa, le bus s’arrêtait dans un autre check point où les bagages étaient systématiquement fouillés et contrôlés. J’avais 99,99999999999% de chances, voire plus, de tomber sur une personne de religion musulmane avec ce que cela implique dans cette région du monde où on grandit (de moins en moins) dans des écoles pour filles et des écoles pour garçons, où les trucs de filles doivent rester des trucs de filles…

J’avais donc planqué une partie de mon matériel sous un joli soutif rouge, on me demanda de refermer cette poche, sous les tampax qui sont tombés, éparpillés sur le sol. On me pria de les ranger, putain de démon, très vite t de refermer cette autre poche. De la grande partie du sac, je sortais quelques vêtements, serrant les fesses pour les objectifs de l’appareil photo. Mais la personne, déjà assez gênée, regarda à peine et me demanda de ranger mes affaires et de remonter dans le bus.

Pour couvrir les manifs, même topo. Alors que je me rendais avec Samuel rencontré le jour même, sur une manifestation, j’avais sciemment planqué tout ce qu’il fallait pour enregistrer du son sur moi, cachant le tout sous des vêtement larges et surtout un grand châle nonchalamment posé sur mes épaules. La petite brune habillée hippie et le grand blond tout aussi décontracté passaient pour de parfaits étudiants en langues, nombreux dans le centre ville à cette époque où personne n’était parti ou n’avait été rapparié.

Regarder, écouter, analyser… et se fondre dans le décor. Nous aurions été seuls, chacun de son côté, dans une manif, il aurait certainement été plus difficile pour nous de passer inaperçus et donc de pouvoir travailler en sécurité. Parce qu’un blond,tout seul en Syrie… Parce q’une nana toute seule, sur une manif où on ne croisait que des hommes…

Les humains sont ainsi faits…

Et il y aurait bien d’autres terrains à explorer. le Garçons-Filles me saoule un peu, à vrai dire, parce que beaucoup trop facile, en général, que ce soit pour les uns ou pour les autres, d’exploiter ses failles. Un jeune ami me rapportait récemment qu’il arrivait à avoir des armes et autre cadeaux supplémentaires en jouant en ligne simplement parce que sa petite voix fluette le faisait passer pour une fille aux yeux des garçons avec qui il jouait enn équipe. Lui ne disait rien et se contentait de récolter le fruit de l’illusion dans laquelle baignaient ses partenaires de jeu.

Idem pour les mécanismes jeunes-vieux… Je kiffe bien ceux qui se placent en patriarches, en mode « je parle, tu écoutes, j’ai la sagesse, petit poussin, je te la partage, blabla… » et donc il faut se taire, écouter, poser une question à l’occasion pour faire croire qu’on s’intéressent à ces personnes qui ont tellement peu confiance en elles qu’elles ont besoin de ça pour se sentir bien dans leur peau. En jouant les petits poussins, on peut (très) facilement en tirer tout ce qu’on veut. Pas question, au contraire, de leur montrer que tu as un cerveau, puisque contreproductif, il pourraient se sentir attaqué. Après tout, ils étaient déjà là à l’époque où tu mangeais ton caca, donc respect… Ou du mois fait semblant.

A lire/regarder/écouter

Je vous recommande de lire Mitnick, L’art de la supercherie. Je suis en pleine lecture de L’art de l’intrusion (PDF) en anglais, sur un autre créneau, mais tout aussi intéressant en termes de trucs et astuces, je le conseille, toutefois, si vous vous êtes calés techniquement, vous risquez de vous ennuyer.
A voir, la vidéo de la conf d’HiTch sur les bases du SE.
A écouter, cette interview de Christopher Hadnagy réalisée durant Hack In Paris. Il m’explique les bases du SE et revient sur la facilité qu’il a à obtenir des informations dans la vie de tous les jours.
Attention, vous pouvez aussi vous faire avoir en ligne, comme nous l’explique Thomas. Le langage que vous utilisez donne déjà pas mal d’informations à votre sujet.

Billet réalisé à partir d’une conférence réalisée à l’invitation d’Hackerzvoice il y a quelques semaines.

Les hommes qui n’aimaient pas les femmes, Millenium tome 1

Premier tome de la trilogie Millenium.  On part le l’histoire d’un journaliste phare d’un canard économique qui se retrouve embrigadé, lors d’une pause professionnelle, à mener l’enquête sur la sombre histoire d’une grande famille. Pour les besoins de l’enquête, il rencontre une jeune hackeuse. Tous les oppose, lui le quinca à la vie bien rangée et elle, la gosse à problème pas vraiment sûre de ses orientations sexuelles.

Continuer la lecture de « Les hommes qui n’aimaient pas les femmes, Millenium tome 1 »