La CAF écarte l'hypothèse d'un piratage de son site mais conseille un changement des mots de passe
La Caisse d’Allocations familiales a confirmé une « violation de données » sur son site avec 4 comptes dûment identifiés, tandis que les auteurs de cette attaque revendiquent un butin plus important.
Dans un communiqué sur son site, la Caf déclare que 4 de ses allocataires ont vu une capture de leur compte mise en ligne comme preuve d'un piratage. D'après la Caisse d’Allocations familiales, l'accès à ces comptes semble plutôt avoir été permis grâce au piratage de leur mot de passe par des moyens autres qu'une intrusion sur le site.
Aucune exploitation d'une faille de sécurité ou compromission du site lui-même n'ont été observées par la Caf, poursuit le communiqué, ajoutant : « Aucune démarche n’a été effectuée sur ces 4 comptes, notamment visant à capter les prestations des allocataires concernés, l’accès aux RIB n’étant pas possible ».
Une plainte a été déposée et la Caisse d’Allocations familiales recommande tout de même de changer son mot de passe, et d'insister plus particulièrement auprès des personnes qui ont l'habitude d'utiliser le même sésame d'un service en ligne à l'autre.
Cette revendication sur X et sur Telegram d'un piratage massif provient d'un collectif de hackers, LulzSec, explique Numerama qui affirment pour leur part avoir eu accès à 600 000 comptes (la Caf a 13,5 millions d'allocataires). Sans que cela soit encore prouvé, au-delà des 4 exemples publiés.
Le site de la Caf va fermer ce soir à partir de 23h30 et jusqu'à demain 6h pour des opérations visant à renforcer la sécurité des mots de passe.
Très rassurant…
Il faut juste un changement dans le titre 😉
Bon… tout va bien 😅
Pour rappel on ne peut pas choisir de mot de passe avec un caractère spécial (&,?,@…).
Je viens de faire le test pour changer le mot de passe et l’indication est toujours là: « sans caractères spéciaux, ni lettres accentuées, ni d'espace ».
C’est hallucinant de nos jours… Je croise les doigts car sur leur communiqué ils indiquent: « Le site caf.fr sera indisponible de mardi 13 février à 23h30 à mercredi 14 février 6h pour nous permettre de renforcer la sécurité des mots de passe. »
@Rodri31
Et encore ils autorisent jusqu’à 64 caractères, ce qui est très bien. Utilisant un gestionnaire de mots de passe, je génère des passwords avec 40 caractères et de nombreux sites me les refusent car les limitent à 16 😡
@Rodri31
Quand je lis 'renforcement de la gestion des mots de passe' je traduit par 'merde on stocke les mots de passe en MD5 qui est cassé depuis une bonne 20 d'années... Oups '
🤔
@dorninem
Et dans cette hypothèse tu voudrais qu’ils fassent quoi en une nuit pour renforcer la sécurité des mots de passe sans demander à tous les utilisateurs de les changer? 😅
@Flagada
Sécuriser fortement le moyen d'accès aux donnés code utilisateur / mot de passe chiffré ou haché afin de s'assurer que seul certains processus par ex signés numériquement peuvent vérifier un accès, vérifier l'impossibilité de recopier l'ensemble de la base de comptes etc...
Enfin plein de trucs..
@dorninem
Pour ce qui est du mdp en lui-même, la moins mauvaise manière de le sécuriser (en dehors du fait de ne pas avoir à en gérer), ça reste le hash mais certainement pas le chiffrement. Et quand l’algorithme devient obsolète, impossible de le changer pour les mots de passe existants. Donc pour ce qui est de « renforcer la sécurité en une nuit », c’est probablement une manière de dire qu’il faudra ensuite que chaque utilisateur change son mot de passe pour bénéficier du nouvel algo. 😉
@Flagada
Pas de chiffrement je sais bien mais cela a été une pratique pendant longtemps... Ainsi que du simple md5 ou sha1 alors qu'un bon pbkdf2 avec une itération de qques milliers c'est top...
Encore faut-il aussi accepter des longueurs correctes de mdp
@Rodri31
Cela ne change rien. Le mot de passe « un petit cheval roux qui chante le jazz comme un T-rex» est plus complexe que « T’(« @&qA% »
Et j’ai plus facile à retenir le 1er ;-)
@Dv@be
Oui, ça fait bien longtemps que le : “il faut absolument des caractères spéciaux pour protéger un mdp” est caduc.
Oui.
@Rodri31
On doit être restreint à un nombre de tentatives avant un blocage du compte.
La chance de trouver un code de 64 caractères au hasard, par exemple en 3 coups est alors impossible. Quoique le hasard a le don de nous étonner.
Par contre on peut avoir jusqu’à 64 caractères, donc il vaut mieux faire des phrases de passe. Avec des mots aléatoires, voire inventés si on veut.
@Rodri31
Sauf que de mémoire si tu te trompe plusieurs de mot de passe ton compte est bloqué, reste que c’est aussi à l’utilisateur de ne pas mettre un mot de passe correspondant à sa vie.
On a des prix nobels en informatique dans nos administrations….
@fredsoo
On a des experts dans tous les domaines sur n’importe quel forum internet ^^.
L’apprentissage de la modestie me semblerait aussi importante que l’écologie ou autre notion du moment.
ben presentement je ne vois pas ce que vous leurs reprochez à ces prix nobel.
@raoolito
Des dizaines de millions de comptes
Le site fonctionne H24
Jamais entendu parler de fuite de données
3 péquins réussissent à accéder à 4 comptes en piratant des mots de passe et ça les critique comme si les mots de passes étaient stockés en clair dans la base…
@CyanRealDamselfly
C'est exactement ça 👌🏽
@CyanRealDamselfly Bien résumé ! Et je fais amende honorable ici : j'étais persuadé qu'iCloud avait été piraté par le passé et ironisais dans les news à ce sujet, jusqu'à ce qu'on me fasse remarquer que les mots de passe avaient été obtenus en "devinant" les mots de passe et non en les piratant.
Je ne serais pas surpris que les mots de passe des quatre comptes donnés en exemples contiennent des dates de naissance ou autres.
Le positif dans l'affaire, c'est que ça va sûrement permettre à des gens de dissocier ce mot de passe de leur mot de passe habituel. C'est chiant d'avoir un mot de passe par service, mais c'est pour l'instant un mal nécessaire.
@fredsoo
Sûrement plus que dans les forums 😉
@fredsoo
Tu imagines que c’est mieux dans le privé sous prétexte que c’est « le privé »? 🙄
@Flagada
Pourquoi tu poses la question sur le privé quand tu as déjà la réponse : Viamedis et Almerys. La condamnation de papfr pour avoir stocker les pwd en clair …
@fredsoo
L’hébergement est très souvent sous-traité…
Incroyable 😳. Rien ne va dans ce pays! La négligence, l’amateurisme, le manque de professionnalisme, dans tous las services de l’État. Aucune culture numérique!!! Ils pensent qu’on vit encore en 1990. Mais sérieux que doit-il nous arriver, pour qu’en France, ceux qui décident se réveillent???
@akaaw
Après les 33 millions de données perso des prestataires de daube pour la sécurité sociale...
En effet 🤮
@dorninem
C’est plutôt les prestataires des mutuelles et assurances santé il me semble. L’Assurance Maladie a bien des maux ce n’est pas la peine d’en rajouter 😅
@MGA
C'est vrai mais c'est pour dire que ce sujet accès est présent partout et il faut impérativement mettre en place des accès à plusieurs facteurs / tracés niveau usage (si usage actuel différe trop des usages précédents alors alerte et blocage du compte) etc...
@dorninem
Pour la connexion des professionnels aux services en lien avec la santé je me demande bien pourquoi la connexion avec la carte CPS ou la CPE n’est pas exigée.
@MGA
Classique... Sûrement qques réfractaires qui pleurnichent et hop dégradation de la sécurité pour tous.🤮
Un peu comme ceux qui ne veulent que du paiement en liquide ou qui ne mettent rien dans les données partagées de santé (bon vu l'usine à gaz qui change tous les qques années...)
@dorninem
Détrompez vous. La connexion avec CPS ou CPE n’est pas implémentée par ces services.
Les réfractaires ne sont pas ceux que vous pensez.
Par exemple en grande majorité l’hôpital n’utilise pas « mon espace santé » (ex-dmp) parce que les services informatiques s’en fichent royalement.
Avant ils n’utilisaient pas les entêtes du standard hprim qui permet depuis longtemps l’identification des patients dans les communications par messagerie sécurisée (du coup les destinataires s’en chargent, c’est beaucoup de temps pour rien)
Les messageries cryptées ne fonctionnent que dans le sens descendant hôpital->correspondant à tel point que les services demandent l’envoi de données médicales par mail dans l’autre sens ce qui est formellement proscrit par l’ordre des médecins, encore une fois les services informatiques hospitaliers sont en cause…
@MGA
Je ne m'y connais pas assez mais en effet malheureusement c'est sûrement vrai... Idem avec un domaine que je connais un peu, l'assurance ou il a fallu des écrits dans le code des assurances pour enfin transférer des données de manière sécurisée entre assureurs... En effet trop pénible pour certains et donc c'était tout en clair, stocké sur des serveurs quasi open bar ouverts sur internet 😱🙄
@dorninem
Beaucoup de « professionnels » de santé, principalement pharmaciens, hôpitaux (privés ou publics) et plus rarement paramédicaux nous demandent d’envoyer des informations médicales sur les patients par email… alors qu’on utilise chaque jour des messagerie cryptées (Apicrypt, payant, entre médecins et/ou MS Santé, récent et gratuit, pour tous les médicaux et paramédicaux)
Le truc très mal pensé avec MS Santé c’est que plusieurs intermédiaires proposent les adresses et que très peu proposent des adresses « d’établissements » donc si vous voulez envoyer un message à la Pharmacie du commerce il vous faut trouver dans l’annuaire l’adresse du pharmacien titulaire du jour… et vous pouvez être certain qu’il n’y a aucune chance qu’il la consulte. Dans les hôpitaux c’est très simple quasi personne n’utilise le dmp et les messageries ne sont pas consultées. La CPAM et l’ARS peuvent casser les pieds aux libéraux mais jamais ils ne vont s’attaquer aux services hospitaliers qui sont pourtant des cibles fréquentes.
Et les patients eux même sont demandeurs, la population en général n’a aucune idée de 2 choses : à quoi sert le secret médical et à quoi sert la sécurisation des échanges numériques.
@MGA
Et ben... Merci pour ces informations.
Encore un exemple qui montre l'absence que vraie gestion politique à moyen / long terme... Même si je n'aime pas trop ces termes les fameux 'plans' du siècle dernier pilotés sur la durée avec un recul nécessaire ce n'était pas si mal.
J'ai halluciné plusieurs fois à l'hôpital en effet, le papier est roi et le médecin est le dieu vivant : vu des trucs dingues comme par ex un médecin qui écrit des trucs sur un papier et aussi dicte sur un dictaphone à cassettes 😳 qui est filé à une infirmière avec un pc (super sécurisé avec un code numérique que tout le monde peut voir saisi) qui fait... la ressaisie dans le SI...
Que de temps perdu, que de risques d'erreur....que de système pas efficient (sûrement pas efficace non plus)
@dorninem
Vu de l’extérieur ce n’est pas très moderne mais parfois l’archaïsme perçu peut être paradoxalement très efficace.
De nombreuses « avancées » informatiques sont sources de coûts, de dysfonctionnements, de perte de temps, de perte d’écoute et de perte de qualité.
Évidemment d’autres avancées sont réellement bluffantes.
Honnêtement que le courrier soit dicté sur une k7 ne me pose pas plus de problèmes que ça, c’est fiable et éprouvé, que les notes soient manuelles à la rigueur mais il faudrait savoir comment sont traitées ces informations. Je préfère largement que le médecin écrive à la main et regarde son patient soit réellement avec lui plutôt que tête baissée sur une tablette à chercher à remplir des cases. (Une serveuse de resto me disait ça hier elle prends encore ses commandes à la main du coup… elle regarde ses clients au lieu de chercher dans les sous menus)
En revanche, que le service informatique ne s’occupe pas de la sécurisation des PC, c’est un vrai problème.
@dorninem
Ce fameux code des assurances qu’on vous sort au moindre grain de sable!
Quelle belle invention !
@pagaupa
Le fameux truc qui ne reconnaît par exemple pas une vidéo prise lors d'un accident... Que les photos sont acceptées donc solution simple pour mettre le nez dans la débilité : imprimer les photos du film 😂
@dorninem
Ce code ne sert aux assurances qu’à se dérober. De plus, il ne peut qu’être une extraction du code civil s’il existe vraiment sinon il n’aurait aucune légitimité. Bref, les assureurs, moins on y a affaire, mieux on se porte.
@dorninem
« Le fameux truc qui ne reconnaît par exemple pas une vidéo prise lors d'un accident... »
Même si ce n’est pas pratique il y a une raison à cela : la loi, mais elle est parfois détournée et piétinée.
Exemple en cas de problème les services de police demandent parfois les images de vidéo surveillance privées qui filment l’espace public. Mais c’est interdit par la loi. Donc si les forces de l’ordre appliquaient la loi, les propriétaires de ces cameras finiraient au tribunal.
vous avez lu? ya 4 allocataires de la CAF qui se sont fait pomper leur mdp et des pirates ont screenshoté leur ecran d 'acceuil, puis ont prétendu au casse du siecle sans preuve.
question1: vous bossez avec eux pour en rajouter sur du vent?
question2: vous bossez peut-être pour d'autres groupes extrémistes ou vendu à des pays hostiles pour pousser méticuleusement toutes les mauvaises nouvelles meme fausses ?
NB: éviter de redire un truc trop proche avec un autre de vos comptes, ok ? Ca se verrait trop.
@akaaw
rien à rajouter
Le gouvernement écarte tout franchissement des frontières des nuages radioactifs de Tchernobyl mais conseille le port de masques chimiques
ne jamais croire à ce qu'on nous dit, mais nous on devrait croire ce que vous insinuez (que ce serait un bobard, alors qu'il est desormais parfaitement illegal et passible de peines de prison et d'amende?)
Je viens d'essayer de changer mon mot de passe et dès que je commence à taper le moindre caractère ça m'indique que le format est invalide (que ce soit des chiffres ou lettres).
N'ayant pas de mot de passe, je ne me sens pas concerné car j'utilise le bouton "France Connect". Dois-je m'inquiéter ?
@stefhan
Non à mon avis c’est plus fiable avec France Connect qui utilise le couple numéro d’imposition/ mot de passe.
La caf utilise le couple numéro de sécurité sociale (qui a été dérobé de certaines bases de données récemment pour certains utilisateurs) et mot de passe.
Je me faisais la réflexion ces jours de passer à France connect et de virer les mots de passes de ce genre de site ?
En tout cas, sans avoir vu ou écouté la nouvelle, j’ai voulu me connecter ce soir et impossible. Le site me disait que 5 tentatives avec un mauvais mot de passe avaient déjà été faites et qu’il me fallait attendre d’abord 20 mins puis une heure.
J’ai dû réinitialiser mon mot de passe.
Je comprends mieux pourquoi maintenant…
Y’a une semaine de cela, vu que je fais des démarches pour un proche sur le site de la CAF, il m’était tout simplement impossible de m’y connecter, mes identifiants étaient les bons, vu que c’est moi qui effectue ces démarches en ligne en général.
Et impossible aussi de recevoir le code d’initialisation du mot de passe sur le numéro de téléphone. Après quelques essais, j’ai laissé tombé sur au bout de 5 tentatives, le compte allait être bloqué. Et la réception du code ne fonctionnait pas.
Cet article me fait penser que ça fait quand même quelques semaines que le site de la CAF merdait en tout cas pour ma part.
Pages