Écriture et droit...
Follow
9 views | +0 today
 
Rescooped by marketing internet from Buzz Actu - Le Blog Info de PetitBuzz .com
onto Écriture et droits d'auteur
Scoop.it!

Créer un Blog Gratuit sur Le Petit Journal du buzz - Petit Buzz

Créer un Blog Gratuit sur Le Petit Journal du buzz - Petit Buzz | Écriture et droits d'auteur | Scoop.it
Créer un Blog Gratuit sur Le Petit Journal du buzz - Petit Buzz

 

Petit Buzz - Le Petit Journal du buzz

URL : http://petitbuzz.com/

 

Petit Buzz est un outil d'une simplicité encourageante permettant à tout le monde de collecter des photos, vidéos, illustrations, images ..., de les classer dans des tableaux de collection et de les partager avec les autres membres. C'est simple et gratuit ! :)

Petitbuzz.com est un petit journal à investir que vous soyez un particulier ou un professionnel. Ce pinboard à la française est ouvert aux graphistes, illustrateurs, photographes, journalistes, bloggeurs, collectionneurs, designers ...

 

Partagez vos envies, vos trouvailles, vos créations ou vos collections, organisez votre projet, faites de la publicité pour votre entreprise, organisez un événement exceptionnel, regroupez vos inspirations en tableaux thématiques, préparez vos expéditions ...

Petitbuzz est un service internet gratuit qui permet de classer et de partager toutes les choses qui vous font envie ou vos centres d'intérêt à une nouvelle communauté francophone. Un petit réseau social pour une grande communauté !

 

Le Petit Journal du Buzz pour partager et découvrir les petits coups de coeur du peuple. Publiez votre Petit Buzz sur le nouveau Journal du Buzz : Buzz Audio, Buzz Vidéo, Buzz Actus, Buzz Internet, Buzz Images, Buzz Photo, Buzz Annonces, Buzz Insolite,Buzz Humour, Buzz People, Buzz Sport ... The Buzz on you ! RDV sur : http://petitbuzz.com/


Via BuzzBlog ▶ Scoopit de Petit Buzz
marketing internet's insight:

Un outil de plus, simple d'accès, pour commencer à s"habituer à publier.

more...
florentb's comment, October 16, 2013 2:10 PM
Bonjour. Charles Pestel, c'est vous ?
BuzzBlog ▶ Scoopit de Petit Buzz's comment, October 16, 2013 4:55 PM
Oui c'est moi ! :) Enchanté !
florentb's comment, October 16, 2013 5:30 PM
Merci ! Merci de bien vouloir me contacter par email (l'adresse se trouve sur ma page profile de Scoop It) ! Cordialement.
Écriture et droits d'auteur
Évolution des devoirs et de la protection des droits d'auteur
Your new post is loading...
Your new post is loading...
Rescooped by marketing internet from Buzz Actu - Le Blog Info de PetitBuzz .com
Scoop.it!

EXO remporte le titre de “Roi de la Musique” en vendant 740 000 exemplaires de XOXO

EXO remporte le titre de “Roi de la Musique” en vendant 740 000 exemplaires de XOXO | Écriture et droits d'auteur | Scoop.it
Le groupe EXO a été nommé (EXO remporte le titre de “Roi de la Musique” en vendant 740 000 exemplaires de XOXO http://t.co/rtYp2qhJTW)

Via BuzzBlog ▶ Scoopit de Petit Buzz
marketing internet's insight:

ça m'étonnait aussi... pour moi EXO c'est ça : http://www.youtube.com/playlist?list=PL11C0BD62DC1C100F 
Pas trop le genre XOXO !! 

more...
No comment yet.
Rescooped by marketing internet from Buzz Actu - Le Blog Info de PetitBuzz .com
Scoop.it!

Carte Vitale, la plus grande mystification de la sécurité informatique ? - Doc GOMI

Carte Vitale, la plus grande mystification de la sécurité informatique ? - Doc GOMI | Écriture et droits d'auteur | Scoop.it

arte Vitale, la plus grande mystification de la sécurité informatique ?

Depuis de nombreuses années, la France se distingue par une innovation assez datée, la carte vitale et la carte professionnelle de santé, qui "sécurisent" les informations et transactions concernant les patients ; c'est dumoins ce qui nous a été vendu.

 

Un peu d'historique et début des soupçons :

 

IL y a trois ans, lors d'un formatage de lot avant la télétransmission des actes effectués au cours de la journée, une erreur s'est glissée dans un lot (microcoupure?) et ce lot altéré n'était donc plus en état d'être télétransmis.

 

La cpam locale me dit de prendre contact avec mon éditeur de logiciel, auquel j'ai donc envoyé ce lot corrompu, et qui me le répara ; une fois reçu je l'ai retélétransmis.

 

Et puis je réalise alors que ce lot a été lu, réparé, et remis en forme sans ma carte vitale professionelle et sans la carte vitale des patients, j'interroge mon éditeur, ses explications sont "confuses".

Armé de mon éditeur de texte, je vais donc à la recherche d'un fichier B2 à télétransmettre et l'ouvre, je découvre alors que rien (ou presque) n'est crypté - chiffré plus exactement.

 

Il est donc possible à cette époque de fabriquer ou réparer des factures FSE non rejetées par la sécurité sociale sans CPS, sans lecteur de carte vitale, avec un simple éditeur de texte.

 

Quelques années passent, nouveau cahier des charges CPS 1.40, nouvelle carte CPS (appel d'offre initial de fabrication à 3 millions d euros.....) , je me dis que le progrès est passé par là.

 

 

Et puis à la suite d'une discussion le doute m'amène à reprendre quelques investigations :

 

je découvre que rien (ou pas grand chose) n'a changé : les fichiers de télétransmission ne sont quasi pas chiffrés , et contiennent les informations d'identification : du médecin, mais aussi du patient (numéro de sécurité sociale et date de naissance), acte en tiers payant, bénéfice de la CMU, grossesse avec date de début, accident de travail, et codage des actes en ATM (qui semble une simple translation et non pas un chiffrement des actes).

 

Depuis la version 1.40 certains éléments sont chiffrés, le cahier des charges n'indique pas les quels, et je me demande finalement ce qui l'est vraiment : les codes des actes semblent simplement "translatés", et non pas chiffrés : le codage des actes CCAM indique précisément ce qui a été fait au patient (tumorectomie du sein...) mais ne figure pas en l'état, est utilisé un codage dit ATM, qui est une description précise de ce qui qui a été réalisé, mais la liste ATM des actes est "confidentielle" (disponible dans tous les organismes de sécurité sociale).

 

Toutes ces informations non chiffrées sont lisibles plus facilement avec un utilitaire B2viewer.exe qui permet une remise en forme, et cet utilitaire se trouve sur internet en trois click (avec les versions d'essai des logiciels médicaux).

 

Pour ceux qui s'intéressent à la totalité des informations transitant ainsi par internet le cahier des charges de la norme B2 est disponible ici et n'a pas évolué depuis 2007.

 

Pourquoi s'émouvoir de cette situation ?

 

Tout d'abord par ce que le ministère, l'ASIP et les industriels nous ont toujours vendu de la sécurité et du cryptage, du chiffrement et s'apercevoir qu'aucune des sécurité promise n'a été activée est tout de même déstabilisant : le lecteur CPS, les certificats de sécurité, les fonctions de cryptage, quasi rien n'est fonctionnel, et tout ce bazar ne sert qu'a mettre en forme des fichiers ASCII lisibles et modifiables avec un simple éditeur notepad. (quelques éléments sont chiffrés mais je ne sais pas à quoi ils correspondent, peut être des vérifications d'intégrité).

 

Ce qui nous est vendu ne correspond pas à la réalité : aucune des clefs publiques de la carte cps ne me semble utilisée (sauf peut être pour le chiffrement très discret visible dans les fichiers B2 mais en tout cas pas pour le transport des flux)  et les documents contractuels précisant le niveau de chiffrement et la technologie employée n'existent pas : on nous vend du marketing, pas de la sécurité.

 

A l'heure de la privatisation de la sécurité sociale par les complémentaires, qu'en est t'il du secret médical lorsque le codage des actes ATM permet de connaitre par la "banqueassurance" du patient, ce qui a été fait, à quelle date, et par qui (généraliste, psychiatre, cancérologue...) ?

 

Et enfin dernier élément : ces informations transitent par des relais mails SMTP, et par les dorsales et backbones du net, et sont aussi enregistrés, captés et stockés, si l'on en croit les récentes révélations concernant le programme PRISM et ses équivalents nationaux.

 

Quitte a payer un lecteur CPS, et tout le pseudo attirail de sécurité qui va avec , serait t'il possible de le faire fonctionner, de l'activer en quelque sorte ?

 

J avais publié cet article il y a une quinzaine de jours, et l ai dépublié

 

Suite à un échange twitter avec un collègue geek , qui m'a indiqué que, peut être, le chiffrement était ultérieur à la génération des fichiers B2 par le logiciel médical + CPS + code porteur.

 

A défaut de sécurité "de base" lors de la fabrication des lots de factures, un chiffrement de transport rendrait les informations non captables sur internet.

 

J'ai donc fortement douté et j ai vérifié : j ai dans un premier temps appelé le Réseau Santé Social, et Orange Santé, qui m 'ont assuré du chiffrement de transport et de la sécurité des informations véhiculées.

 

On se dit qu'au minimum un simple SSL permettant de tunneliser est forcément utilisé, surtout quand on a acheté tout ce matériel, migré en 1.4, installé le kit de connexion et j'en passe..... ; puisqu 'un simple provider lambda propose cette option sans avoir besoin de l'attirail CPS....

 

Je leur ai demandé de me fournir un document contractuel décrivant leur offre de service : ce document n'existe pas ! et je me suis donc mis à douter encore plus.

 

Tout ce systême est très bien organisé pour ne pas être transparent : en effet les factures télétransmises ne sont pas consultables car les mails envoyés ne sont pas visibles, d'ou l'impossibilité pour l'utilisateur médecin ou professionnel de santé de se faire une idée de ce qu 'il envoie sur le réseau internet.

 

Le webmail n'est pas disponible, qui permettrait de voir ces envois et de connaitre l'étendue du chiffrement.

 

Deux solutions pour savoir : un proxy SMTP entre mon poste et mon FAI, ou l'analyse des trames réseaux avec Wireshark, j ai utilisé cette deuxième solution.

 

Sur le port SMTP après filtrage on obtient ceci lors de l'envoi d une FSE :

 

 

 

 

Avouez que ça a une bonne tête  : les mails sortants de chez moi semblaient bien chiffrés.

 

Sauf que c'est marqué dessus, c'est en fait un simple encodage base64 permettant une vérification d 'intégrité, et non un chiffrement ( cf la RFC 4648 ) et là encore, la CPS reste inutilisée, alors qu'elle contient les clefs publiques nécessaires et suffisantes pour faire le job de chiffrement.

 

Après opération de décodage Base 64 ( qui peut se faire en ligne ici), je retrouve bien mon fichier B2 non chiffré, avec les données d 'identification en clair (nom du médecin, identifiant Adeli, numero SS et date de naissance du patient) et tout celà sort de mon ordinateur depuis 10 ans sans que je sois au courant.

 

Au final, la télétransmission des actes de médecine se décompose en deux opérations qui laissent les données personnelles et d'identification du patient et du médecin circuler en clair sur internet :

 

- l'une consistant en la fabrication des lots à télétransmettre dits B2

 

- l'autre consistant en l'envoi de cette facture B2 par internet sous forme d'un mail, pour lequel la CNIL préconisait déjà en 2007 un chiffrement de transport, qui n'est pas effectif dans la très grande majorité des cas (voire la totalité des cas, mais je n ai pu tester tous les FAI, seulement les "plus sécurisés") : ni VPN hardware qui partirait du modem routeur , ni même une petite cession SSL (et je ne sais pas ce qu'il en est pour les factures des cliniques, hôpitaux, laboratoires....).

 

Quelle conclusions à tout ceci et qu'exiger ?

 

- tout d'abord de la transparence et des engagements contractuels et écrits envers les professionnels de santé de la part des éditeurs, des transporteurs de flux, et du GIE sésam vitale,  qui se foutent quand même un peu de notre poire quand ils nous causent chiffrement et sécurité avec la haute bénédiction ministérielle et la participation de tout ce monde à ce qui ressemble grandement à une mystification.

 

- les experts, le ministère, la CNIL n 'auraient t'ils rien vu ? un peu hilarant ou désolant, au choix.

 

- cette transparence doit pouvoir se matérialiser dans la visibilité des informations transmises sur le réseau par le professionnel de santé, ce qui n'est pas le cas aujourd'hui : je veux voir ce qui sort de mon ordinateur et qui va transiter sur internet.

 

Je suis au final un peu ébahi par ce systême, son coût, et son mode de fonctionnement totalement dégradé par rapport à ce qui nous est promis et vendu à l'heure ou n'importe quel provider SMTP est en mesure de fournir du SSL. (orange le fait avec les offres de base depuis le 5 mai 2011 par exemple).

 

Bien sûr un chiffrement intégral des FSE poserait de grands défis techniques, et il faut certainement un statu quo raisonnable (sans doute un layer SSL de transport, n'utilisant pas forcément les clefs publiques CPS) ; en passant je remarque que le prochain appel d 'offre CPS pourrait faire l'économie en deniers publics de toutes les fonctions non activées de la carte CPS.

 

Mais l'opacité, les inexactitudes et dans certains cas les mensonges qui entourent l'épopée sésam vitale, son obsolescence programmée en raison de l 'arrivée des technologies NFC sont tout de même extrêmement problématiques, et posent la question de la confiance que professionnels de santé et citoyens-patients-contribuables peuvent accorder aux discours rassurant et lénifiants des organisateurs de cette drôle de mystification collective.

 

On retombe sur les problématiques de l'expertise technique et de la démocratie, ou plus exactement de sa confiscation : chacune des organisations, éditeur de logiciel médical, GIE sésam vitale, ministère, industriel, organisme de normalisation (CNDA) a l'impression de faire au mieux et de ne pouvoir bouger le systême (qui nécessiterait des modifications techniques sur l ensemble de la chaîne) ; chacun a aussi de très bons arguments pour expliquer que rien n'est possible et que la responsabilité est celle d'un autre acteur de la chaine ; mais au final, le produit livré ne correspond absolument pas à ce qu'on est en droit d'en attendre ; si on interpelle les individus, chacun reconnait que le résultat final ne correspond pas à la communication réalisée par les organisations.

 

Se pose aussi bien évidemment la question de la confidentialité de notre travail, du secret dû au patient, d'un vieux truc qui ne semble plus d'actualité : le secret médical, et plus globalement du BigData et de la confidentialité des données personnelles. 

 

 

 

 

Ci dessus un fichier B2 reconstitué : il s 'agit d'une trame réseau whireshark du port 25, décodée en base64 (car non chiffrée) et simplement copiée collée dans un wordpad.

En l ouvrant avec B2 viewer, on constate l'étendue des informations d 'identifications qui partent en clair sur internet : quel médecin a été consulté, quel jour, son numéro adeli, le numéro de SS et la DDN du patient, le montant facturé, entre autres.

 


Via sylvie Royant-Parola, dbtmobile, BuzzBlog ▶ Scoopit de Petit Buzz
marketing internet's insight:

Eh oui, ç'a été un gros effort pourtant pour améliorer la mosaïque départementale (chaque caisse a son propres système mais rien n'y fait : ils ne savent pas être pro en informatique, aux ministères… Sauf aux Impôts et la Défense. 

more...
sylvie Royant-Parola's curator insight, August 31, 2013 3:29 AM

L'envoi des données de télétransmission médicale via la carte vitale est lisibile par un décodeur basique Base 64, téléchargeable sur internet! Les normes de sécurité ne sont pas conformes à celle qu'indique l'ASIP. La sécu serait-elle au dessus des lois?

marketing internet's comment, September 2, 2013 10:03 AM
La sécu est surtout bien au-dessous de tout en ce qui concerne l'informatisation! Change de département pour voir !
Rescooped by marketing internet from Buzz Actu - Le Blog Info de PetitBuzz .com
Scoop.it!

Want to play piano, but don't know how to play piano? That's okay, let's just play piano.

Want to play piano, but don't know how to play piano? That's okay, let's just play piano. | Écriture et droits d'auteur | Scoop.it
Want to play piano, but don't know how to play piano? That's okay, let's just play piano.

Via BuzzBlog ▶ Scoopit de Petit Buzz
more...
marketing internet's comment, July 30, 2013 7:30 AM
For sure it won't resist to an attentive analyze, but you can have your minute of glory ;)
Rescooped by marketing internet from Stratégie médias innovants
Scoop.it!

Réseaux sociaux et BtoB : récapitulatif 2013 en une infographie

Réseaux sociaux et BtoB : récapitulatif 2013 en une infographie | Écriture et droits d'auteur | Scoop.it

Les chiffres clefs 2013 de l'adoption des réseaux sociaux par les entreprises B2B


Via coup d'oeil
more...
No comment yet.
Rescooped by marketing internet from WeAreBlogger
Scoop.it!

Créer un blog d'entreprise

Créer un blog d'entreprise | Écriture et droits d'auteur | Scoop.it
Créer un blog pour l'entreprise, assurer une présence sur les réseaux sociaux, mais qu'allez vous y dire, qu'allez vous y faire. Décryptage.

Via WeAreBlogger
marketing internet's insight:

Que ce soit pour une entreprise type PME ou TPE, voire entreprise personnelle : les questions à se poser et les réponses à apporter.

Que certaines grandes entreprises devraient reconsidérer ;)

more...
La Belle Page's curator insight, May 3, 2013 12:50 PM

parce que j'aime ce que fait cet homme là et que j'en apprends toujours beaucoup, je partage!

Rescooped by marketing internet from Entrepreneurs du Web
Scoop.it!

Comment publier des tweets qui s'autodétruisent

Comment publier des tweets qui s'autodétruisent | Écriture et droits d'auteur | Scoop.it
Il peut être intéressant de programmer un délai au bout duquel un tweet s’autodétruit tout seul.  Pour de multiples raisons, vous pouvez vouloir limiter la durée de vie d’un tweet sur le réseau social.

Via Olivier JADZINSKI
more...
Gaëtan Compigni's comment, September 4, 2013 4:55 AM
Il y a beaucoup de potentiel, un buzz peut être monté dessus comme avec snapchat.
François Christiaens's comment, September 5, 2013 4:47 AM
Oui mais tous les serveurs par lesquels transitent les messages stockent des copies des messages... qui sont juridiquement recevables.
Stéphane Koch's comment, September 5, 2013 5:26 AM
En effet, de plus il est très facile de faire des captures d'écran des tweets incriminés ;)
Rescooped by marketing internet from Buzz Actu - Le Blog Info de PetitBuzz .com
Scoop.it!

Créer un Blog Gratuit sur Le Petit Journal du buzz - Petit Buzz

Créer un Blog Gratuit sur Le Petit Journal du buzz - Petit Buzz | Écriture et droits d'auteur | Scoop.it
Créer un Blog Gratuit sur Le Petit Journal du buzz - Petit Buzz

 

Petit Buzz - Le Petit Journal du buzz

URL : http://petitbuzz.com/

 

Petit Buzz est un outil d'une simplicité encourageante permettant à tout le monde de collecter des photos, vidéos, illustrations, images ..., de les classer dans des tableaux de collection et de les partager avec les autres membres. C'est simple et gratuit ! :)

Petitbuzz.com est un petit journal à investir que vous soyez un particulier ou un professionnel. Ce pinboard à la française est ouvert aux graphistes, illustrateurs, photographes, journalistes, bloggeurs, collectionneurs, designers ...

 

Partagez vos envies, vos trouvailles, vos créations ou vos collections, organisez votre projet, faites de la publicité pour votre entreprise, organisez un événement exceptionnel, regroupez vos inspirations en tableaux thématiques, préparez vos expéditions ...

Petitbuzz est un service internet gratuit qui permet de classer et de partager toutes les choses qui vous font envie ou vos centres d'intérêt à une nouvelle communauté francophone. Un petit réseau social pour une grande communauté !

 

Le Petit Journal du Buzz pour partager et découvrir les petits coups de coeur du peuple. Publiez votre Petit Buzz sur le nouveau Journal du Buzz : Buzz Audio, Buzz Vidéo, Buzz Actus, Buzz Internet, Buzz Images, Buzz Photo, Buzz Annonces, Buzz Insolite,Buzz Humour, Buzz People, Buzz Sport ... The Buzz on you ! RDV sur : http://petitbuzz.com/


Via BuzzBlog ▶ Scoopit de Petit Buzz
marketing internet's insight:

Un outil de plus, simple d'accès, pour commencer à s"habituer à publier.

more...
florentb's comment, October 16, 2013 2:10 PM
Bonjour. Charles Pestel, c'est vous ?
BuzzBlog ▶ Scoopit de Petit Buzz's comment, October 16, 2013 4:55 PM
Oui c'est moi ! :) Enchanté !
florentb's comment, October 16, 2013 5:30 PM
Merci ! Merci de bien vouloir me contacter par email (l'adresse se trouve sur ma page profile de Scoop It) ! Cordialement.
Rescooped by marketing internet from Stratégie médias innovants
Scoop.it!

L'art de manier la critique avec élégance

L'art de manier la critique avec élégance | Écriture et droits d'auteur | Scoop.it
« En s’écartant des conventions on éveille la fureur des gens conventionnels, principalement parce qu’ils voient cet écart comme une critique à leur encontre.

Via coup d'oeil
marketing internet's insight:

la critique est aisée, mais l'art est difficile. L'art de la critique est donc… difficilement aisée ! Tant à émettre qu'à recevoir. Explications inside!

more...
coup d'oeil's comment, May 17, 2013 3:55 AM
Remerciez la personne qui vous critique. Parfois ils le font pour vous aider. Cela demande du courage, et c’est très généreux. Soyez reconnaissant pour ça. Même lorsqu’ils n’essayent pas d’aider, ils ont pris le temps de vous répondre ─ et croyez-moi, avoir une réponse est préférable au silence complet.
Rescooped by marketing internet from Infos du Web, marketing et techniques
Scoop.it!

Comment trouver le temps pour écrire un livre

Comment trouver le temps pour écrire un livre | Écriture et droits d'auteur | Scoop.it
Comment trouver le temps pour écrire un livre ? Voici la question à laquelle l'écrivain et blogueur Mohamed Mouras répond dans cet article invité utile...

Via dadga
marketing internet's insight:

Écrire, ça prend du temps. Bien écrire, encore plus. Alors écrire un livre, vous pensez ne jamais y arriver… Et pourtant ! Allez voir :)

more...
dadga's curator insight, February 22, 2013 1:03 PM

très bonne article