#20020

Le ministère de la Santé et la CADA refusent de rendre public le code du Health Data Hub

2021 et ils font encore de la sécurité par l’obscurité… C’est fatiguant…

Pour ceux qui connaissent pas : la sécurité ne réside pas dans le fait de cacher la porte d’entrée, mais dans la robustesse de la clé.

Si le programme est suffisamment sûr, suffisamment bien code, suffisamment bien audité, alors le rendre public ne poserait aucun problème de sécurité. La sécurité d’un système d’information (un SI) ne doit pas reposer sur ça. Elle doit reposer sur la taille du mot de passe et les algorithmes de chiffrement utilisés (les algos devant être, eux-mêmes, publics).

Pour info, Linux, qui fait tourner l’ISS, vos Box, votre téléphone, vos télé, tous les supercalculateurs du monde, Google, Amazon, Facebook, votre banque et votre voiture… est libre, open-source et le code source est ouvert à tout le monde, y compris vous, moi, les pirates… Mais aussi les gens bien intentionnés et les programmeurs payés par tous les acteurs qui l’utilisent (les gouvernements, la Nasa, Google, Microsoft, Intel…).

Cette ouverture permet de rendre le code le plus sûr possible et le plus exempt de défauts possible. Un code 100 % sécurisé ça n’existe pas, mais on s’en approche avec l’open-source.

Dans la vraie vie, la sécurité d’un coffre fort ne doit pas résider dans le fait qu’il soit caché. Elle doit résider dans le choix de ses matériaux, sa serrure, sont code secret, etc.
Un coffre fort en papier ne sert à rien. Même caché, il finira toujours par être trouvé. Faut pas se leurrer.
Alors que s’il est en titane blindé à l’adamantium doublé de kevlar avec une porte de tungstène qui demande 2 clés + un code à 24 lettres + une empreinte digitale + d’attendre qu’on soit un jour pair + (…), alors on pourrait le mettre devant sa porte, personne ne pourra l’ouvrir même avec de la dynamite. C’est ça, la sécurité en informatique.

Là, ce que la CADA et la France fait, c’est « non, ne regardez pas comment on a construit ça ! ». On peut dès lors imaginer le pire :
— mots de passes stockés en clair, voire codées en dur
— informations personnelles stockées en clair
— logiciels et bibliothèques obsolètes
— serveurs non protégées

Ils n’ont vraiment rien compris.

https://www.nextinpact.com/lebrief/46913/le-ministere-sante-et-cada-refusent-rendre-public-code-health-data-hub

#20019

La Corée du Nord, ses pirates d'élite et son cybercrime organisé

Je remets ici mon commentaire concernant l’étonnement d’avoir de si bons hackers dans un pays tellement déconnecté :

Au contraire, ça ne me surprend pas : perso quand je vois un truc que je n’ai pas et que je veux, je me donne les moyens de l’avoir.
Je n’ai pas eu internet à la maison jusqu’à 2010 environ.
Mais j’ai appris à capter le net où il y en avait (pas toujours ouvert, d’ailleurs). Et comme j’avais pas un accès constant au web (et à ses ressources), j’ai appris à programmer pour aspirer des sites web en hors-ligne puis à coder pour pouvoir me noter les astuces et créer un site web dédié. Bref, j’avais le temps et la motivation et aujourd’hui je maîtrise ces choses là.

Eux ça doit être pareil : ils veulent accès à internet, ils apprennent à le faire, tout doucement, mais très sûrement et discrètement.

Ensuite, ils se font choper et hop : ils acceptent de bosser pour l’oncle Kim et en échange de quoi ils ne sont pas fusillés.

Ah et j’ajoute ça ici : il faut pas oublier qu’ils sont très copains avec la Chine, qui a nettement plus de ressources (y compris en quantité de matière grise) et qui est tout aussi prêt à faire chier l’occident et surtout les USA.

https://www.nextinpact.com/article/45622/la-coree-nord-ses-pirates-delite-et-son-cybercrime-organise