Notices by Maxime Ori (maxauvy@mastodon.etalab.gouv.fr)

[Thread]

BIEN.

Parlons un peu ransomware maintenant. Petit thread gentil à propos d'un cas réel qui mêle du lol, du facepalm, quelques larmes aussi, et un peu de bitcoins.

C'est bien connu, les attaques, c'est comme les contrôles de la CNIL, ça touche que les gros, et les autres. Partant de ce principe, déroulons gentiment.

Énorme 😂😂

Que.

"Le SI de <client> ne contient pas d’Intranet ou de partie privée, il n’y a donc pas d’intrusion à
proprement parler."

Ah bah alors, qu'est-ce que je fais là ? 😂

Allez, pour le fun, presque Livepouet :

3/ Adminsys, à propos du PCA/PRA : "c'est à dire que euh, la documentation n'est pas très exhaustive"

*fait pivoter son Mac vers le RSSI*

Ils ont mis un petit temps à s'arrêter de rire.

Ils ont même pas osé nous montrer :p

Les audits de tiers, c'est toujours génial.

En vrac, 2 moments mémorables de la journée :

1/ le "bon, on va vérifier le durcissement des postes en allant contrôles les postes de collaborateurs au hasard" --> pokerface du client

2/ je demande à un dev quelles sont ses relations avec l'équipe sécurité. Réponse instantanée : "j'leur parle pas, c'est des connards".
Facepalm du RSSI.

Dire que j'y passe la semaine :D
(mais le contenu est intéressant !)

J'ai fait découvrir @krita à une amie qui n'avait plus de licence Adobe et qui du coup ne dessinait plus.

Krita a fait une heureuse là, clairement, elle a passé l'après-midi dessus.

Merci pour elle <3

On a le public qu'on mérite, hein :D

Ah d'accord maintenant le changement pour un mot de passe à 8 chiffres c'est obligatoire quoi, mais c'est une banque ou la foire à la saucisse ? >_<

Trouvé dans un doc du client.

Kill me now.

@framasky
C'était rigolo, mais j'crois elle a moyen kiffé alors que j'ai fait super light.

Bon comme d'habitude, si je touche au RGPD, c'est que je suis avocat. Ils oublient définitivement qu'un expert sécurité "IT" c'est nécessaire pour la conformité... -_-

En parlant d'un test ADN confié à un labo étranger :

"En tout cas, j’ai toujours du mal à admettre qu’une telle démarche puisse être interdite dans un pays réputé « libre »."

Faudrait ptêt faire un petit topo sur les enjeux et risques liés à ça, quand même.

Vu hier au grand aquarium de Saint-Malo.

Définitivement, NodeJS, c'est le cancer. Même pour un écran qui indique des espèces dans un bassin, c'est pas stable 😇

Bon, au moins, on voit bien le suivi de la chose, c'est "rassurant".

M'enfin voilà où en est mon expérience DMP.

J'vais aller bidouiller l'appli Android, du coup, pour voir.

Dispo pour causer de tout ça, si besoin \o/

"Vous allez donc devoir re-définir un mot de passe personnalisé.

Je vous conseille cette fois de choisir un mot de passe de 8 caractères, mais *vraiment* personnalisé : par exemple, un prénom et une date".

Je me fais bloquer mon compte après 3 tentatives erronées.

Je ne comprends pas : mon mot de passe est dans KeePassXC, je ne l'ai pas changé, l'historique ne montre aucune modification que j'aurais pu faire par erreur.

Je cherche donc ailleurs.

La réponse est dans l'image.

Eeeeh oui. Sur la nouvelle version du DMP, le formulaire de login "limite" le mot de passe à 20 caractères.

Alors que le mien en fait 30.

Ouais. Image 2.

Bon.

Hier aprem', je râlais parce que je voulais accéder à mon DMP : Dossier Médical Partagé.

A titre liminaire (cace-dédi la CNIL), une considération personnelle : c'est la CNAMTS qui gère ce projet, et il semblerait que selon l'équipe en charge, elle soit possible du meilleur comme du pire. Par exemple, feu le SNIIRAM était très bien géré (la MED de la CNIL portait plutôt sur les organismes qui l'utilisaient, finalement).

J'ai ouvert un DMP pour des raisons de praticité. Avec des réserves.

Cet épisode avec le DMP est un vrai sketch.

Je finis une bricole et je vous raconte ça...

Masto, un logiciel libre de gestion de cave, tu aurais ça ? :D

(j'ai totalement la flemme de faire ça dans un tableur...)

Mais au secours.

Laisser les gens choisir un password de 30 caractères, puis bloquer la saisie à 20 caractères derrière.

J'me retrouve enfermé dehors.