Link list
Une note interne du Pentagone avertit les soldats américains des dangers des tests génétiques. Les données des militaires pourraient fuiter et être utilisées par des gouvernements hostiles aux États-Unis.
“Donner des informations détaillées sur son patrimoine génétique à des sociétés privées peut avoir de graves conséquences pour les forces militaires”, avertit une note interne du Pentagone dévoilée par le site Yahoo News. Les plus hauts gradés de l’armée américaine estiment que les données génétiques collectées par des entreprises comme 23 And Me, ne sont pas régulées et pourraient être revendues ou fuiter vers des gouvernements hostiles aux États-Unis.
Si le Pentagone ne détaille pas plus précisément les menaces sur la diffusion de ces données génétiques, certains scénarios possibles sont décrits dans cette note interne. Des agences d’espionnage étrangères pourraient avoir accès à des données compromettantes sur un officier américain comme une maladie héréditaire par exemple et le faire chanter pour qu’il soit obligé de donner des informations clefs à l’ennemi. Une inquiétude fondée. En février 2019, l’entreprise FamilyTreeDNA a révélé qu’elle laissait régulièrement le FBI fouiller dans ses banques de données de ses clients afin de résoudre plus facilement des crimes. Les clients FamilyTreeDNA n’avaient jamais donner leur accord pour que leurs données soient partagées.
Les hauts gradés de l’US Army affirment également que les kits pour analyser son patrimoine génétique peuvent donner des résultats imprécis sur des prédispositions à certaines maladies. Ces données erronées pourraient engendrer de faux diagnostics sur la condition médicale d’un militaire et peut-être freiner sa carrière. Certains officiers appellent même à une loi visant à mieux réguler ces entreprises de tests génétiques pour éviter de futures fuites et de mieux protéger la vie privée des citoyens américains.
Vous avez sans doute vu défiler des annonces du Black Friday vous invitant à acheter des produits de toute sorte. Si vous vous êtes résolu à acheter une (nouvelle) smart TV, le FBI voudrait que vous sachiez un certain nombre de choses.
Les smart TV ressemblent aux téléviseurs ordinaires, mais disposent de la possibilité de se connecter à Internet. Plusieurs vont se tourner vers la télévision connectée pour avoir accès à des services de streaming comme Netflix, Hulu, Amazon Prime Video et d’autres. Mais, comme tout ce qui se connecte à Internet, les vulnérabilités des smart TV sont donc ouvertes aux hackers. De plus, de nombreuses smart TV sont équipées d'une caméra et d'un microphone. Pourtant, comme pour la plupart des autres appareils connectés à Internet, les fabricants ne mettent souvent pas la sécurité en priorité.
C’est l'un des points sur lesquels le bureau du FBI à Portland a publié un avertissement sur son site Web.
« Un certain nombre de téléviseurs récents ont également des caméras intégrées. Dans certains cas, les caméras sont utilisées pour la reconnaissance faciale afin que le téléviseur sache qui est en train de regarder les programmes pour adapter le contenu et réaliser des propositions. Certains de ses appareils permettent également de réaliser des appels vidéo.
« Outre le risque que votre fabricant de télévision et les développeurs d'applications vous écoutent et vous regardent, la télévision peut également être une passerelle pour que les pirates pénètrent dans votre maison. Un cyberacteur malveillant peut ne pas être en mesure d'accéder directement à votre ordinateur verrouillé, mais il est possible que votre téléviseur non sécurisé lui permette d'accéder facilement à la porte dérobée via votre routeur.
« Les pirates peuvent également prendre le contrôle de votre téléviseur non sécurisé. Au bas du spectre des risques, ils peuvent changer de chaîne, jouer avec le volume et montrer à vos enfants des vidéos inappropriées. Dans le pire des cas, ils peuvent allumer la caméra et le microphone de votre téléviseur et vous espionner ».
Les attaques actives et les exploits contre les téléviseurs connectés sont rares, mais pas inconnus. Étant donné que chaque téléviseur intelligent connecté est livré avec le logiciel de son fabricant et est à la merci de son programme de correctifs de sécurité irrégulier et souvent peu fiable, certains appareils sont plus vulnérables que d’autres. Plus tôt cette année, des hackers ont montré qu’il était possible de détourner la Google Chromecast et de diffuser des vidéos au hasard à des milliers de victimes.
En fait, certains des plus grands exploits ciblant les télévisions connectées de ces dernières années ont été développés par la CIA, mais ont été volés. Les fichiers ont ensuite été publiés en ligne par WikiLeaks.
Cependant, même si l’avertissement du FBI répond à de véritables craintes, l’un des problèmes les plus importants qui devraient en susciter autant, sinon davantage, est le nombre de données de suivi collectées sur les propriétaires de téléviseurs intelligents.
Le Washington Post, plus tôt cette année, a constaté que certains des fabricants de téléviseurs intelligents les plus populaires, y compris Samsung et LG, collectent des tonnes d'informations sur ce que les utilisateurs regardent afin d'aider les annonceurs à mieux cibler leurs publicités et à suggérer des contenus à suivre, par exemple. Le problème de la retransmission télévisée est devenu si problématique il y a quelques années que le fabricant de téléviseurs intelligents Vizio a dû payer une amende de 2,2 millions de dollars après avoir été surpris en train de collecter secrètement les données de visionnage. Plus tôt cette année, un recours collectif séparé lié à la poursuite de Vizio a été autorisé malgré la demande de l'entreprise.
Les téléviseurs et la technologie occupent une place importante dans nos vies et ne sont pas près de disparaître. Aussi, le FBI a fait une série de recommandations pour vous aider à mieux protéger votre famille :
Sachez exactement quelles sont les fonctionnalités de votre téléviseur et comment les contrôler. Effectuez une recherche Internet de base avec votre numéro de modèle et les mots « microphone », « caméra » et « confidentialité ».
Ne dépendez pas des paramètres de sécurité par défaut. Modifiez les mots de passe si vous le pouvez. Sachez, si possible, désactiver les microphones, les appareils photo et la collecte des informations personnelles. Si vous ne pouvez pas les désactiver, déterminez si vous êtes prêt à prendre le risque d’acheter ce modèle ou d’utiliser ce service.
Si vous ne pouvez pas éteindre une caméra, mais souhaitez le faire, un simple morceau de ruban noir sur l’œil de la caméra est une option de retour aux sources.
Vérifiez la capacité du fabricant à mettre à jour votre appareil avec des correctifs de sécurité. Peuvent-ils le faire ? L'ont-ils fait dans le passé ?
Vérifiez la politique de confidentialité du fabricant de téléviseurs et les services de streaming que vous utilisez. Confirmez quelles données ils collectent, comment ils les stockent et ce qu’ils en font.Source : FBI
The FBI says owners of IoT (Internet of Things) devices should isolate this equipment on a separate WiFi network, different from the one they're using for their primary devices, such as laptops, desktops, or smartphones.
"Your fridge and your laptop should not be on the same network," the FBI's Portland office said in a weekly tech advice column. "Keep your most private, sensitive data on a separate system from your other IoT devices," it added.
The same advice -- to keep devices on a separate WiFi network or LAN -- has been shared in the past by multiple IT and security experts [1, 2, 3, 4].
The reasoning behind it is simple. By keeping all the IoT equipment on a separate network, any compromise of a "smart" device will not grant an attacker a direct route to a user's primary devices -- where most of their data is stored. Jumping across the two networks would require considerable effort from the attacker.
However, placing primary devices and IoT devices on separate networks might not sound that easy for non-technical users. The simplest way is to use two routers.
The smarter way is to use "micro-segmentation," a feature found in the firmware of most WiFi routers, which allows router admins to create virtual networks (VLANs). VLANs will behave as different networks; even they effectively run on the same router. A good tutorial on how you can create VLANs on your routers is available here.
While isolating IoT devices on their own network is the best course of action for both home users and companies alike, this wasn't the FBI's only advice on dealing with IoT devices. See below:
Change the device's factory settings from the default password. A simple Internet search should tell you how—and if you can't find the information, consider moving on to another product.
Passwords should be as long as possible and unique for IoT devices.
Many connected devices are supported by mobile apps on your phone. These apps could be running in the background and using default permissions that you never realized you approved. Know what kind of personal information those apps are collecting and say "no" to privilege requests that don't make sense.
Make sure all your devices are updated regularly. If automatic updates are available for software, hardware, and operating systems, turn them on.Last week, the same FBI branch office in Portland also gave out similarly good advice on dealing with smart TVs by recommending that device owners put a piece of black tape over their smart TV's camera lens.
The FBI claimed that hackers who take over one of today's fully-featured smart television sets would be able to spy on device owners through the built-in cameras.
While this is prudent advice, it is worth mentioning that there have not been any known cases of this happening -- with hackers taking over a smart TV and spying on its owner.
Oui... à condition de protéger certaines données personnelles, a répondu le ministère de la Culture à la question écrite du sénateur Jean-Louis Masson (NI, Moselle). Décryptage de la réponse de la Rue de Valois.
Le parlementaire de Moselle Jean-Louis Masson s’interroge sur les conséquences de cette passion française pour la généalogie, plusieurs associations de généalogistes amateurs proposant aux communes « de numériser leurs documents d’état civil afin de permettre l’accès du plus grand nombre à ces documents ». Cette numérisation est-elle conforme au droit ? Le ministère de la Culture souligne tout d’abord que les actes de naissance et de mariage sont communicables à tous au terme de 75 ans. Quant aux actes de décès, ils le sont immédiatement, sauf si l’accès est -limité par le procureur de la République. « Les documents librement communicables peuvent être consultés par les généalogistes amateurs dans les institutions qui les conservent : mairies, greffes ou services départementaux d’archives, ajoute la Rue de Valois. La communication s’opère, au choix du demandeur, par consultation gratuite sur place ou par délivrance d’une copie.
Préserver les originaux… et les données personnelles
Et rien ne s’oppose à ce que l’usager « reproduise lui-même les documents avec son propre matériel. Ces opérations de reproduction ne doivent cependant pas être autorisées si elles présentent un risque pour la conservation des registres originaux », précise le ministère, et « la reproduction doit se faire […] en prenant le plus grand soin des documents ».
La réutilisation des informations publiques obtenues est libre et gratuite. « Néanmoins, lorsque les documents reproduits comportent des données à caractère personnel, c’est-à-dire relatives à des personnes vivantes, leur traitement par les usagers et les associations généalogiques est soumis au réglement européen » de protection des données. Ainsi, « la plus grande vigilance s’impose s’agissant du traitement des actes d’état civil de personnes potentiellement vivantes, prévient le ministère. La Commission nationale de l’informatique et des libertés (Cnil) a interdit toute mise en ligne, par des opérateurs de généalogie, de fichiers-images et d’indexations nominatives d’actes de moins de 120 ans ou relatifs à des personnes nées depuis moins de 120 ans. »
Références
Réponse à Jean-Louis Masson, n° 7946, JO Sénat du 18 avril 2019
L’Association Interhop.org est une initiative de professionnels de santé spécialisés dans l’usage et la gestion des données de santé, ainsi que la recherche en machine learning dans de multiples domaines médicaux. Aujourd’hui, en leur donnant la parole sur ce blog, nous publions à la fois une alerte et une présentation de leur initiative.
En effet, promouvant un usage éthique, solidaire et intelligent des données de santé, Interhop s’interroge au sujet du récent projet Health Data Hub annoncé par le gouvernement français pour le 1er décembre prochain. Devons-nous sacrifier le bon usage des données de santé sur l’autel de la « valorisation » et sous l’œil bienveillant de Microsoft ? Tout comme dans l’Éducation Nationale des milliers d’enseignants tentent chaque jour de ne pas laisser le cerveaux de nos enfants en proie au logiciels fermés et addictifs, il nous appartient à tous de ne pas laisser nos données de santé à la merci de la recherche de la rentabilité au mépris de l’éthique et de la science.
Hold-up sur les données de santé, patients et soignants unissons-nous Par Interhop.org
La plateforme nationale des données de santé ou Health Data Hub, pour les plus américains d’entre nous, doit voir le jour d’ici la fin de l’année. Il s’agit d’un projet qui, selon le Ministère de la Santé, vise à « favoriser l’utilisation et de multiplier les possibilités d’exploitation des données de santé » en créant notamment « une plateforme technologique de mise à disposition des données de santé ».
Or, à la lecture du rapport d’étude qui en détermine les contours, le projet n’est pas sans rappeler de mauvais souvenirs. Vous rappelez-vous, par exemple, du contexte conduisant à la création de la CNIL (Commission nationale de l’informatique et des libertés) en 1978 en France ? L’affaire a éclaté en mars 1974, dans les pages du journal Le Monde. Il s’agissait de la tentative plus ou moins contrecarrée du projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) visant à créer une banque de données de tous les citoyens français en interconnectant les bases de plusieurs institutions grâce à un numéro unique d’identification du citoyen : le numéro de Sécurité Sociale.
Ce scandale n’était pourtant pas inédit, et il ne fut pas le dernier… À travers l’histoire, toutes les tentatives montrent que la centralisation des données correspond à la fois à un besoin de gouvernement et de rentabilité tout en entamant toujours un peu plus le respect de nos vies privées et la liberté. L’histoire de la CNIL est jalonnée d’exemples. Quant aux motifs, ils relèvent toujours d’une très mauvaise habitude, celle de (faire) croire que la centralisation d’un maximum d’informations permet de les valoriser au mieux, par la « magie » de l’informatique, et donc d’être source de « progrès » grâce aux « entreprises innovantes ».
Concernant le « Health Data Hub », il s’agit d’un point d’accès unique à l’ensemble du Système National des Données de Santé (SNDS) issu de la solidarité nationale (cabinets de médecins généralistes, pharmacies, hôpitaux, Dossier Médical Partagé, registres divers et variés…). L’évènement semble si important qu’il a même été annoncé par le Président Macron en mars 2018. Par ailleurs, il est important de pointer que le SNDS avait été épinglé pour l´obsolescence de son système de chiffrement en 2017 par la CNIL.
De plus, l’infrastructure technique du Health Data Hub est dépendante de Microsoft Azure. Et ce point à lui seul soulève de grandes problématiques d’ordre éthique et réglementaire.
Alors que le Règlement Général sur la Protection des Données (RGPD) protège les citoyens européens d’un envoi de leurs données en dehors du territoire européen, la loi Américaine (Cloud Act) permet de contraindre tout fournisseur de service américain à transférer aux autorités les données qu’il héberge, que celles-ci soient stockées aux États-Unis ou à l’étranger.
Entre les deux textes, lequel aura le dernier mot ?
Les citoyens et patients français sont donc soumis à un risque fort de rupture du secret professionnel. La symbolique est vertigineuse puisque l’on parle d’un reniement du millénaire serment d’Hippocrate.
Le risque sanitaire d’une telle démarche est énorme. Les patients acceptent de se faire soigner dans les hôpitaux français et ils ont confiance dans ce système. La perte de confiance est difficilement réparable et risque d’être désastreuse en terme de santé publique.
C’est sous couvert de l’expertise et du « progrès » que le pouvoir choisit le Health Data Hub, solution centralisatrice, alors même que des solutions fédérées peuvent d’ores et déjà mutualiser les données de santé des citoyens Français et permettre des recherches de pointe. Bien que les hôpitaux français et leurs chercheurs œuvrent dans les règles de l’art depuis des années, il apparaît subitement que les données de santé ne sauraient être mieux valorisées que sous l’égide d’un système central, rassemblant un maximum de données, surveillant les flux et dont la gestion ne saurait être mieux maîtrisée qu’avec l’aide d’un géant de l’informatique : Microsoft.
Il est à noter que d’une part, il n’a jamais été démontré que le développement d’un bon algorithme (méthode générale pour résoudre un type de problèmes) nécessite une grande quantité de données, et que d’autre part, on attend toujours les essais cliniques qui démontreraient les bénéfices d’une application sur la santé des patients.
Pour aller plus loin, le réseau d’éducation populaire Framasoft, créé en 2001 et consacré principalement au développement de logiciels libres, veut montrer qu’il est possible d’impacter le monde en faisant et en décentralisant. C’est cette voie qu’il faut suivre.
La loi pour une République numérique fournit un cadre légal parfait pour initier des collaborations et du partage. La diffusion libre du savoir s’inscrit totalement dans la mission de service publique des hôpitaux telle qu’imaginée il y a des décennies par le Conseil National de la Résistance, puis par Ambroise Croizat lors de la création de la Sécurité Sociale.
On ne s’étonne pas que le site Médiapart ait alerté le 22 novembre dernier sur les conditions de l’exploitation des données de santé. Il est rappelé à juste titre que si la CNIL s’inquiète ouvertement à ce sujet, c’est surtout quant à la finalité de l’exploitation des données. Or, la récente Loi Santé a fait disparaître le motif d’intérêt scientifique pour ne garder que celui de l’intérêt général…
Quant à la confidentialité des données, confier cette responsabilité à une entreprise américaine semble être une grande erreur tant la ré-identification d’une personne sur la base du recoupement de données médicales anonymisées est en réalité plutôt simple, comme le montre un article récent dans Nature.
Ainsi, aujourd’hui en France se développe toute une stratégie visant à valoriser les données publiques de santé, en permettant à des entreprises (non seulement des start-up du secteur médical, mais aussi des assureurs, par exemple) d’y avoir accès, dans la droite ligne d’une idéologie de la privatisation des communs. En plus, dans le cas de Microsoft, il s’agit de les héberger, et de conditionner les technologies employées. Quant aux promesses scientifiques, elles disparaissent derrière des boîtes noires d’algorithmes plus ou moins fiables ou, disons plutôt, derrière les discours qui sous le « noble » prétexte de guérir le cancer, cherchent en fait à lever des fonds.
Quelles sont les alternatives ?
Le monde médical et hospitalier est loin de plier entièrement sous le poids des injonctions.
Depuis plusieurs années, les hôpitaux s’organisent avec la création d’Entrepôts de Données de Santé (EDS). Ceux-ci visent à collecter l’ensemble des données des dossiers des patients pour promouvoir une recherche éthique en santé. Par exemple, le projet eHop a réussi à fédérer plusieurs hôpitaux de la Région Grand Ouest (Angers, Brest, Nantes, Poitiers, Rennes, Tours). Le partage en réseau au sein des hôpitaux est au cœur de ce projet.
Par aller plus loin dans le partage, les professionnels dans les hôpitaux français reprennent l’initiative de Framasoft et l’appliquent au domaine de la santé. Ils ont donc créé Interhop.org, association loi 1901 pour promouvoir l’interopérabilité et « le libre » en santé.
Pourquoi interopérer ?
L’interopérabilité des systèmes informatisés est le moteur du partage des connaissances et des compétences ainsi que le moyen de lutter contre l’emprisonnement technologique. En santé, l’interopérabilité est gage de la reproductibilité de la recherche, du partage et de la comparaison des pratiques pour une recherche performante et transparente.
L’interopérabilité est effective grâce aux standards ouverts d’échange définis pour la santé (OMOP et FHIR)
Pourquoi décentraliser ?
Comme dans le cas des logiciels libres, la décentralisation est non seulement une alternative mais aussi un gage d’efficacité dans le machine learning (ou « apprentissage automatique »), l’objectif visé étant de rendre la machine ou l’ordinateur capable d’apporter des solutions à des problèmes compliqués, par le traitement d’une quantité astronomique d’informations.
La décentralisation associée à l’apprentissage fédéré permet de promouvoir la recherche en santé en préservant, d’une part la confidentialité des données, d’autre part la sécurité de leur stockage. Cette technique permet de faire voyager les algorithmes dans chaque centre partenaire sans mobiliser les données. La décentralisation maintient localement les compétences (ingénieurs, soignants) nécessaires à la qualification des données de santé.
Pourquoi partager ?
La solidarité, le partage et l’entraide entre les différents acteurs d’Interhop.org sont les valeurs centrales de l’association. Au même titre qu’Internet est un bien commun, le savoir en informatique médical doit être disponible et accessible à tous. Interhop.org veut promouvoir la dimension éthique particulière que reflète l’ouverture de l’innovation dans le domaine médical et veut prendre des mesures actives pour empêcher la privatisation de la médecine.
Les membres d’Interhop.org s’engagent à partager librement plateforme technique d’analyse big data, algorithmes et logiciels produits par les membres. Les standards ouverts d’échange sont les moyens exclusifs par lesquels ils travaillent et exposent leurs travaux dans le milieu de la santé. Les centres hospitaliers au sein d’Interhop.org décident de se coordonner pour faciliter et agir en synergie.
Pourquoi soigner librement ?
L’interconnexion entre le soin et la recherche est de plus en plus forte. Les technologies développées au sein des hôpitaux sont facilement disponibles pour le patient.
L’Association Interhop.org veut prévenir les risques de vassalisation aux géants du numériques en facilitant la recherche pour une santé toujours améliorée. L’expertise des centres hospitaliers sur leurs données, dans la compréhension des modèles et de l’utilisation des nouvelles technologies au chevet des patients, est très importante. Le tissu d’enseignants-chercheurs est majeur. Ainsi en promouvant le Libre, les membres d’Interhop.org s’engagent pour une santé innovante, locale, à faible coût et protectrice de l’intérêt général.
Les données de santé sont tout à la fois le bien accessible et propre à chaque patient et le patrimoine inaliénable et transparent de la collectivité. Il est important de garder la main sur les technologies employées. Cela passe par des solutions qui privilégient l’interopérabilité et le logiciel libre mais aussi le contrôle des contenus par les patients.