Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Offrir ses organes, c’est plus cool que d’offrir ses données personnelles

Edit – Droit de réponse de France-Adot suite à mon article que je publie ici dans son intégralité. Content que ça bouge ! :

Bonjour.
Les internautes porteurs d’une carte de donneur d’organes issue du site de FRANCE ADOT (www.france-adot.org) peuvent vouloir modifier leurs coordonnées.
Suite à la parution d’un article sur le blog de korben, vous êtes plusieurs à nous reprocher un manque de sécurité de notre site, qui permet à un tiers d’accéder à vos références à partir de votre NOM + Prénom + Date de naissance, seuls éléments invariants permettant de définir chacun.
Ce système est en place depuis 2012, et à ce jour nos internautes ne nous avaient jamais fait remonter de problèmes liés à une quelconque divulgation de leurs coordonnées.
Auparavant, nous avions été confrontés à de très nombreux internautes qui n’arrivaient pas à modifier leurs données du fait de la complexité des procédures (par exemple des personnes âgées …), aussi avions nous cherché à simplifier du mieux possible la procédure de modification de leurs données, leur permettant ainsi d’être plus autonomes.
Malgré cela, nous comprenons la problématique que représente la simplification de cette procédure pour les internautes qui ne souhaitent pas que ces données soient aussi facilement décelables, et nous avons entendu le message qui nous a été transmis sur ce point.
Nous allons donc procéder à sa modification, en y ajoutant une vérification par échange de mail, permettant ainsi d’éviter l’accès aux données par les 3 seules informations NOM, Prénom et date de naissance. Cela sera effectif dans les 8-10 jours, le temps pour notre prestataire de réaliser ces modifications.
Nous vous préviendrons lors de la mise en ligne, et souhaitons que vous ajoutiez en haut de votre publication sur Korben, que nous allons rapidement mettre en place une solution permettant de sécuriser les données de nos internautes.
Cordialement,
Hervé LE SERRE,
pour FRANCE ADOT (association gérée uniquement par des bénévoles).

—–

Sébastien, un lecteur du site, a découvert une « négligence caractérisée » sur le site de France-Adot qu’il est important que je vous signale.

Pour ceux qui ne connaitraient pas France Adot, c’est la Fédération des Associations pour le Don d’Organes et de Tissus humains. J’en avais parlé en 2007 et je m’étais inscrit sur leur site pour obtenir ma carte de donneur d’organes. Je trouve ça très bien et donner ses organes pour sauver des vies, c’est quelque chose qu’on devrait tous être prêts à faire.

Pour s’inscrire, il faut leur fournir les indications suivantes :

  • Nom
  • Prénom
  • Email
  • Adresse postale
  • Pays
  • Date de naissance
  • N° de téléphone

C’est ensuite enregistré dans leur base de données et le fichier est correctement déclaré à la CNIL. Mais il suffit d’entrer à nouveau sur le site, son nom, son prénom et sa date de naissance pour obtenir à nouveau toutes les infos. C’est d’ailleurs écrit sur le site : « …accéder à ses coordonnées ».

Screenshot 2016-04-06 12.35.09

En gros, si vous souhaitez obtenir mes données personnelles que sont mon adresse postale, mon n° de téléphone et mon adresse email, il vous suffit de connaitre mon nom (DORNE), mon prénom (MANUEL) et ma date de naissance (23/03/1982). Ça se trouve assez facilement sur le net et voici ce que vous obtiendrez :

Screenshot 2016-04-06 11.09.17

(J’ai modifié les données avant de faire la capture écran )

Pas cool, hein ?

Sébastien a contacté France Adot il y a plus de 15 jours pour les prévenir de leur erreur, et ces derniers lui ont confirmé que c’était effectivement possible de récupérer l’adresse des gens (En oubliant de mentionner aussi le n° de téléphone et l’ email), mais que ce ne serait pas « raisonnable » de le faire.

Franchement, j’sais pas… Pour moi, ce qui ne me semble pas raisonnable, c’est de laisser ce truc en l’état sans le corriger, sans même en avoir la volonté, et sans remercier la personne qui vous a prévenu. Je ne sais pas exactement dans quel cadre sont exploitées ces données, mais vu qu’il est aussi possible de les modifier, n’importe qui pourrait changer mon adresse, mon numéro de téléphone, mon email…etc.

cartedonneur_D_M-2

Techniquement, France-Adot peut très bien modifier légèrement le process pour que les données personnelles ne ressortent pas lorsqu’on souhaite modifier nos infos sur leur site. Et pour éviter les modifications intempestives, pourquoi ne pas faire comme tout le monde, et demander un mot de passe ou au pire du pire, envoyer une URL temporaire avec clé unique par email ?

De mon côté, voyant mes infos perso exposées comme ça sur le net, je leur ai demandé il y a plus de 15 jours à ce que mes données soient effacées de leur base de données. C’est mon droit et c’est indiqué noir sur blanc sur leur site :

Screenshot 2016-04-06 12.19.51

Seulement, voilà, 15 jours plus tard, je n’ai pas eu de réponse et mes données personnelles étaient toujours présentes sur le site. J’ai donc renvoyé à nouveau ma demande hier matin, mais pareil, pas eu de réponse. Donc j’ai fini par modifier moi-même mes données sur le site.

Si j’écris cet article, c’est surtout pour vous alerter que vos données sont exposées (Si vous avez fait une demande de carte de donneur évidemment) et qu’il faut que vous alliez les modifier vous-même pour les anonymiser, car France-Adot ne semble pas prendre au sérieux le risque ni tenir compte des demandes de suppression. (En tout cas en ce qui concerne les miennes)

Sébastien et moi, on n’y est pas arrivé, mais je vous invite quand même à leur envoyer un petit mail pour leur demander poliment de faire les corrections nécessaires sur le site. Ça les fera peut-être changer d’avis.

A bon entendeur, salut !

Et donnez vos organes, c’est bon pour la santé… des autres !


Vous partez en vacances? Cinq choses à faire en matière d’hygiène cybersécurité avant de partir



contenu proposé par ESET sécurité

Le fait d’être à l’extérieur de l’environnement familier de votre domicile ou de votre bureau peut vous exposer à des menaces imprévues. C’est pourquoi vous seriez bien avisé d’être doublement vigilant en matière de cybersécurité

Quel que soit le ou les dispositifs que vous emportez avec vous, assurez-vous que les systèmes d’exploitation et les applications sont mis à jour pour des correctifs de sécurité, en particulier les logiciels dont les vulnérabilités sont connues pour être souvent exploitées par les cybercriminels. Il est préférable d’automatiser cette routine dans tous les cas où c’est possible, ou du moins de s’assurer que vous recevez des notifications chaque fois qu’une mise à jour est en attente.

Vérifiez deux fois plutôt qu’une que…


Lire la suite



Réponses notables

  1. Nicom says:

    Merci pour l’info, j’ai mis le lien vers ton post comme adresse postale sur la carte et falsifié tout le reste :slight_smile:

  2. bunam says:

    C’est bien de nous y faire penser !
    Au top Korben :wink:

  3. il faut effectivement mieux s’adresser directement pour faire valoir tes droits à la CNIL et à l’Agence de la Biomédecine en ce qui concerne le don d’organes , de plus il y a des subtilités* et arrêter d’alimenter ces agences bidon comme France Adot.

    subtilités: pour les dons d’organes après la mort , NOUS SOMMES TOUS DONNEURS et il faut une carte de REFUS (rarement, illégalement NON prise en compte) et que les proches le manifestent .
    et pour les dons d’organes de son vivant (reins, moelle osseuses) pas besoin de carte c’est géré en direct par l’Agence (mais il y a encore un petit problème de données qui sont partagées avec le monde entier , les données aux états-unis sont en clair …) pas très privacy compliant tout ça !

  4. bunam says:

    Ouf j’ai eu peur qu’on soit obligé de les donner de son vivant ;p

  5. Quel pouvoir ce Korben ! La prochaine fois que j’ai un problème de données personnelles avec un site, je te demanderai de faire un article :slight_smile: . Service Korben efficace en 48h, plus rapide que la réparation de votre machine à café !

Continuer la discussion sur Korben Communauté

7 commentaires supplémentaires dans les réponses

Participants