#données_santé

Vie privée : les internautes, même précautionneux, pistés à leur insu
▻https://www.lemonde.fr/sciences/article/2022/04/12/vie-privee-les-internautes-meme-precautionneux-pistes-a-leur-insu_6121754_16

https://img.lemde.fr/2022/04/10/2430/0/3638/1819/1440/720/60/0/c0b5b81_1649618709364-lemonde-cookies-rvb.jpg

Deux études montrent comment la désactivation des cookies peut être contournée pour continuer à suivre et profiler les utilisateurs du Web, notamment dans le secteur de la santé.

Deux articles de recherche corrigent sérieusement cette naïveté. Près de 4 % des sites Web les plus fréquentés arrivent à recréer des cookies, que l’on pensait pourtant avoir effacés. Plus de 60 % de sites « santé » identifient le visiteur avant même de proposer la fameuse bannière de consentement. Et 15 % continuent à le pister, même s’il l’a refusé !

La première étude montre comment régénérer un cookie tiers ou en tout cas « identifiant ». La seconde explique comment un cookie peut être synchronisé entre plusieurs sites, parfois sans que le site propriétaire en soit informé, transformant même un cookie propriétaire en un cookie tiers. « On montre qu’il existe des techniques méconnues pour faire du traçage, mais bien sûr on ne peut pas montrer si elles servent effectivement dans ce but », précise Arnaud Legout.

Détaillons la première étude, sur la recréation de cookies. Les chercheurs ont mis en évidence des techniques qui pistent les internautes par leur « empreinte de navigation ». Celle-ci consiste en une série d’informations comme le fuseau horaire, la version du navigateur ou du système d’exploitation, la langue préférée… Le site Amiunique.org permet de se faire une idée de cette empreinte. Contrairement aux cookies, elle ne peut être effacée, mais elle est moins stable, car elle peut changer pour un même utilisateur au cours du temps, par exemple lors d’une mise à jour.

Des prises de rendez-vous chez un pédiatre, un dermatologue ou un cancérologue en disent beaucoup sur l’état de santé des personnes, ce qui pourrait intéresser les assurances ou les banques

L’équipe de l’Inria a découvert que l’empreinte peut servir à recréer un cookie. Au départ, un cookie est associé à une empreinte dans la base de données du site « suiveur ». Puis si ce cookie est effacé, mais que l’empreinte ne change pas, alors le cookie est recréé pour assurer le suivi.

Des « pixels invisibles »

La méthode a consisté à vérifier si ces sites utilisent des techniques subtiles que les auteurs de l’étude avaient dévoilées en 2020 et qui permettent de synchroniser des cookies entre plusieurs sites, et donc de suivre les internautes. Ces six méthodes recourent à des « pixels invisibles », c’est-à-dire que, lors d’une visite, une requête est envoyée vers un site tiers qui renvoie un pixel blanc, donc invisible pour l’utilisateur, mais qui génère un dépôt ou une récupération de cookie chez l’internaute. Une extension de navigateur a même été développée pour automatiser la détection de ces techniques. « Nous avions montré que les techniques habituelles de blocage, basées sur des listes noires de sites suiveurs, ratent entre 25 % et 30 % des “traceurs” », rappelle Imane Fouad, doctorant dans ces études.

Appliquées à 385 sites de santé, les conclusions sont sévères : 62 % d’entre eux recourent à ces pistages méconnus… avant même que l’internaute ne réponde à la bannière de consentement ; 40 % ne permettent pas de refuser le traçage. Et 15 % tracent même si le visiteur a refusé ! « Malheureusement, il était déjà connu que les bannières ont ce genre de défauts. Nous montrons en plus que c’est le cas avec des techniques peu connues et qui échappent aux bloqueurs habituels », résume Arnaud Legout.

Ces résultats arrivent dans un contexte particulier, où le plus grand acteur de la navigation sur le Web, Google avec son outil Chrome, a annoncé vouloir bloquer les cookies tiers, tout en fournissant des solutions techniques aux publicitaires, dont le géant fait lui aussi partie, permettant de « cibler » sans « suivre » chaque internaute. Mais en 2021, l’entreprise a annoncé reporter ce déploiement technique à 2023.

« On peut faire l’hypothèse que les techniques que nous avons mises au jour servent aux entreprises qui les développent pour montrer leur savoir-faire et offrir de meilleurs services. Mais c’est aussi sûrement pour se préparer à la fin des cookies tiers », estime Arnaud Legout. La bataille n’est pas finie.

David Larousserie

#Cookies #Traçage #Trace #RGPD #Données_santé #Vie_privée

Des militaires français compromettent la sécurité de leurs opérations sur les réseaux sociaux | Mediapart
▻https://www.mediapart.fr/journal/international/101220/des-militaires-francais-compromettent-la-securite-de-leurs-operations-sur-

https://static.mediapart.fr/etmagine/default/files/mosaique-soldats-reseaux.jpg

A rapprocher de l’étude sur la géolocalisation par Charlie Wazel en décembre 2019 dans le New York Times.

Alors que l’armée interdit à ses militaires de poster des informations sensibles en ligne, Mediapart a retrouvé, via différentes applications, plus de 800 profils de soldats français déployés à l’étranger et plus de 200 profils de membres des forces spéciales. L’état-major reste évasif sur les mesures prises pour endiguer un problème pourtant susceptible de mettre en péril la sécurité des forces militaires.

#Géolocalisation #Armée #Quantified_self #Sport #Données_santé #Traces

Données de santé : l’arbre StopCovid qui cache la forêt Health Data Hub
►https://theconversation.com/donnees-de-sante-larbre-stopcovid-qui-cache-la-foret-health-data-hu

https://images.theconversation.com/files/336197/original/file-20200519-152338-8watz2.jpg?ixlib=rb-1.1.0&rect=10%2C0%2C1011%2C505&q=45&auto=format&w=1356&h=668&fit=crop

Le gouvernement britannique autorise Amazon à accéder aux données de 40 millions de patients | korii.
►https://korii.slate.fr/tech/gouvernement-britannique-amazon-acces-donnees-medicales-40-millions-pati

https://korii.slate.fr/sites/default/files/styles/1440x600/public/000_1lt98t.jpg

Les données de santé : nouveau secteur de valorisation pour les plateformes. Le guerre est lancée ; les Etats collaborent. Chacun son cheval, Amazon en Grande-Bretagne ; Microsoft en France.

L’ONG Privacy International dénonce un accord passé entre le fabricant d’Alexa et le ministère de de la Santé qui va au-delà de l’annonce initiale.

Outre-Manche, l’exécutif dirigé par Boris Jonhson essuie actuellement une pluie de critiques pour avoir validé une autorisation d’accès aux informations médicales stockées sur les serveurs du NHS (National Health Service) et mises à la disposition d’Amazon sans aucune compensation financière et sans l’accord des patient·es.

En juillet dernier, Matt Hancock, ministre de la Santé et des Affaires Sociales, avait fait part d’un accord conclu avec Amazon pour que le géant américain puisse utiliser un certain nombre de données de santé dans le but d’aider les malades à obtenir de meilleurs conseils médicaux via Alexa. L’idée semblait louable. Cependant, l’accord va bien plus loin que ce qui avait été annoncé initialement.
À lire aussiLa big data en santé, une mine d’or de 12 milliards d’euros pour la Grande-Bretagne

Privacy International, une ONG qui milite contre la violation de la vie privée commise par les gouvernements, a révélé, après enquête et publication de l’intégralité du contrat, qu’il incluait « toutes les informations sur les soins de santé, y compris, sans s’y limiter, les symptômes, les causes et les définitions, ainsi que tout le contenu, les données, les informations et autres documents protégés par le droit d’auteur », détenus par le NHS et le ministère de la Santé et des Affaires Sociales. Le mastodonte du e-commerce a par ailleurs reçu un blanc-seing pour utiliser ces données à d’autres fins que de fournir des conseils médicaux.
Boris Johnson persiste et signe

En résumé, le gouvernement de Boris Johnson a remis entre les mains d’Amazon les clés du coffre-fort contenant l’intégralité des données de santé sensibles et personnelles de la grande majorité des Britanniques, avec toute latitude pour ce dernier de s’en servir comme il l’entend. L’accord empêche même le ministère de la Santé et des Affaires Sociales « d’émettre toute publicité sans une autorisation préalable écrite d’Amazon ».

Ces révélations ont provoqué un véritable tollé dans les rangs des travaillistes et au sein de la population, après avoir été rendues publiques il y a quelques jours par Privacy International. Amazon s’est tout de suite défendu en affirmant que les personnes qui utilisent Alexa n’auront en réalité accès qu’à du « contenu général sur la santé ». Pour l’instant, le gouvernement de Boris Johnson n’a pas prévu de faire machine arrière et maintient l’accord dans son intégralité.

#Amazon #Données_santé #Santé_publique #Vectorialisme

Aetna May Have Exposed The HIV Status Of Thousands Of Clients | HuffPost
►http://www.huffingtonpost.com/entry/aetna-hiv-status-privacy_us_59a04965e4b0821444c2e1fb

https://img.huffingtonpost.com/asset/59a072841900002500dd5645.png?ops=1910_1000

Insurance company Aetna Inc. inadvertently revealed the HIV status of potentially thousands of its customers when it sent information about HIV medication using an envelope with a mailing window large enough to read the letter’s contents, according to reports. Aetna sent the letter to about 12,000 people, Time reported.

In addition to breaking privacy laws that give people the right to have their medical information protected, the breach also put people’s safety at risk, as HIV stigma is still strong in the U.S.

Several of the affected clients said that family members and neighbors had learned that they were using HIV medication from these mailers, the letter from the nonprofit advocacy groups said.

People have been denied medical and dental care on the basis of their HIV status. People have been fired or had job offers rescinded on the basis of their HIV status. Indeed, shame and fear about the infection prevents many from getting tested in the first place. The U.S. Centers for Disease Control and Prevention estimates that 15 percent of Americans with HIV don’t know that they have it.

#Données_santé #Sécurité_informatique

Cyberattacks in 12 Nations Said to Use Leaked N.S.A. Hacking Tool - The New York Times
▻https://www.nytimes.com/2017/05/12/world/europe/uk-national-health-service-cyberattack.html

https://static01.nyt.com/images/2017/05/13/world/13Hack3/13Hack3-facebookJumbo.jpg

An extensive cyberattack struck computers across a wide swath of Europe and Asia on Friday, and strained the public health system in Britain, where doctors were blocked from patient files and emergency rooms were forced to divert patients.

The attack involved ransomware, a kind of malware that encrypts data and locks out the user. According to security experts, it exploited a vulnerability that was discovered and developed by the National Security Agency.

The hacking tool was leaked by a group calling itself the Shadow Brokers, which has been dumping stolen N.S.A. hacking tools online beginning last year. Microsoft rolled out a patch for the vulnerability last March, but hackers took advantage of the fact that vulnerable targets — particularly hospitals — had yet to update their systems.

The attack on the National Health Service seemed perhaps the most audacious of the attacks, because it had life-or-death implications for hospitals and ambulance services.

On social media, several images circulated showing computer screens bearing a message that the user could not enter without first paying a $300 ransom in Bitcoin. Many doctors reported that they could not retrieve their patients’ files.

#cybersécurité #ransomware #bitcoin #données_santé