USA

L’Usine digitale

Oracle alerte certains clients de santé d’une fuite de données, le FBI ouvre une enquête

Oracle a été touché par une fuite de données depuis les systèmes d’Oracle Health, une société de gestion en ligne de dossiers médicaux acquise en 2022, révèlent Bloomberg et le site spécialisé BleepingComputer. Dans un message envoyé aux clients concernés, Oracle Health indique avoir pris connaissance le 20 février “d’un événement de cybersécurité impliquant un accès non autorisé à une certaine quantité de [leurs] données”, présentes “sur un ancien serveur hérité non encore migré vers Oracle Cloud”. e nombre de dossiers patients dérobés et de prestataires touchés est pour l’heure incertain, tout comme l’ampleur de la violation de données. D’après une personne proche du dossier citée par Bloomberg, les dossiers patients seraient récents.

Disponible sur: usine-digitale.fr

L’Usine digitale

Sécurité nationale : Washington restreint les flux de données personnelles vers les pays préoccupants

Le Département de la Justice des Etats-Unis (DoJ) a publié, le 27 décembre 2024, une règle finale mettant en oeuvre l’executive order 14117 adopté en février par le président Joe Biden visant à restreindre les flux de données personnelles sensibles vers une liste de pays. Il s’agit de « la Chine (y compris Hong-Kong), Cuba, l’Iran, la Corée du Nord, la Russie et le Venezuela ». Ces pays, jugés comme étant « préoccupants », sont accusés d’exploiter ces données « pour collecter des informations sur des militants, des universitaires, des journalistes, des dissidents, des opposants politiques ou des membres d’organisations non gouvernementales ou de communautés marginalisées afin de les intimider, de freiner l’opposition politique, de limiter les libertés d’expression, de réunion pacifique ou d’association, ou de permettre d’autres formes de suppression des libertés civiles » , détaille le DoJ.

Disponible sur: usine-digitale.fr

L’Usine digitale

Une faille de sécurité liée aux puces Qualcomm touche des millions de smartphones Android

Le géant américain des semi-conducteurs a annoncé qu’une vulnérabilité critique affectait ses processeurs et qu’elle était activement exploitée par des pirates informatiques. 64 modèles de la firme présentent des failles de sécurité, dont le Snapdragon 8 Gen 1. Qualcomm a depuis publié des correctifs, qui seront efficaces lorsque les équipementiers auront déployé une mise à jour. La faille 0-day, déjà décrite par l’agence américaine de cybersécurité (CISA) et par le NIST, présente un score de sévérité élevé (7,8). Elle est due à une faille “use-after-free”, un problème technique qui se traduit par une mauvaise réinitialisation d’un pointeur suite à une libération de la mémoire. Les pirates informatiques peuvent alors détourner la mémoire pour injecter du code, même s’ils disposent de faibles privilèges.

Disponible sur: usine-digitale.fr

Numerama – Cyberguerre

Un citoyen chinois a dérobé des infos à la NASA en se faisant passer pour un collègue par mail

Un citoyen chinois a dérobé des documents sensibles de la NASA et l’armée américaine en bernant ses cibles avec de simples mails. Outre-Atlantique, le ministère de la Justice poursuit, depuis le 16 septembre, un certain Song Wu pour « fraude électronique » et « vol d’identité aggravé », avec à chaque fois 14 chefs d’accusation. L’homme, âgé de 39 ans, serait ingénieur au sein de l’Aviation Industry Corporation of China (AVIC), un conglomérat chinois spécialisé dans la défense et l’aérospatiale. En parallèle, Song Wu aurait lancé son opération de mailing dès janvier 2017 et l’aurait discrètement poursuivie jusqu’en décembre 2021. Plusieurs fichiers contenant des informations sur les logiciels de la NASA ont terminé en Chine, selon le ministère de la Justice.

Disponible sur: numerama.com

L’Usine digitale

Cybersécurité : ServiceNow victime d’une fuite de données à cause d’une erreur de configuration

ServiceNow, société de logiciels américaine développant une plateforme cloud optimisée pour l’automatisation des flux de travail, a subi une fuite de données exposant des informations sensibles, a révélé le 17 septembre la société de cybersécurité spécialisée dans les applications SaaS AppOmni. À l’origine de cette violation de données, une mauvaise configuration des contrôles d’accès aux bases de connaissances (“knowledge bases”, KB). Ces référentiels d’articles permettent aux entreprises et administrations de partager des foires aux questions, des guides pratiques et tutoriels pour les utilisateurs autorisés. Au lieu d’être cantonnées à une société, certaines pages contenant des informations sensibles ont été rendues publiquement accessibles pour d’autres utilisateurs. L’éditeur de logiciels américain a ainsi subi une violation de données touchant plus de 1000 instances d’entreprise.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : AT&T paie 13 millions de dollars pour clore l’enquête sur une fuite de données

Le fournisseur de services téléphoniques américain AT&T avait signalé l’année dernière une fuite de données sur l’un de ses fournisseurs de cloud, subtilisant les données de près de 9 millions de clients. L’opérateur s’engage également à renforcer ses pratiques de gouvernance des données. Le spécialiste américain des télécoms a accepté de payer 13 millions de dollars (11,6 millions d’euros) pour résoudre une enquête portant sur une violation de données dans les systèmes d’un fournisseur de cloud, a déclaré le 17 septembre la FCC américaine. Cette fuite de données, qui n’est pas la dernière en date, avait impacté 8,9 millions de clients. Ceux qui avaient recours aux services d’AT&T entre 2015 et 2017 avaient été particulièrement ciblés, alors que leurs données auraient dû par la suite être supprimées des systèmes de l’entreprise.

Les données subtilisées comprenaient notamment le nombre de lignes sur un compte, mais aussi des données personnelles plus sensibles, comme le solde de la facture et d’autres informations tarifaires.

Disponible sur: usine-digitale.fr

California Privacy Protection Agency (CPPA)

L’assemblée législative de Californie adopte un projet de loi visant à faciliter l’exercice des droits en matière de protection de la vie privée

Dans un communiqué publié la semaine dernière, l’Agence californienne de protection de la vie privée (CPPA) félicite la législature de l’État de Californie pour avoir adopté l’AB 3048, dont l’auteur est le membre de l’Assemblée Josh Lowenthal. Ce projet de loi, parrainé par la CPPA, exige que les navigateurs prennent en charge les signaux de préférence de retrait (OOPS), ce qui permet aux utilisateurs de refuser la vente ou le partage de leurs informations personnelles en une seule étape. [Il s’agit, en substance, des options « Do not track », ou encore « Do not sell »].
Le projet de loi est maintenant soumis à l’examen du gouverneur. La Californie fait actuellement partie de la douzaine d’États qui exigent des entreprises qu’elles respectent les demandes de protection de la vie privée formulées par les consommateurs au moyen de signaux de préférence d’exclusion dans leur navigateur et leurs appareils. Si la loi est signée, la Californie sera le premier État à exiger que les navigateurs et les systèmes d’exploitation mobiles offrent aux consommateurs la possibilité d’exercer ces droits.

La CPPA ajoute que les entreprises qui reçoivent ces signaux doivent les considérer comme des refus valables de vente et de partage, conformément à la législation en vigueur. Des milliers d’entreprises collectent les informations personnelles des consommateurs lorsqu’ils naviguent en ligne, ce qui complique la tâche des consommateurs qui doivent exercer leur droit de retrait sur le site web de chaque entreprise. L’utilisation d’un OOPS envoie automatiquement le signal au nom du consommateur, ce qui simplifie grandement la tâche des Californiens.

Sur Linkedin (attention, lien tracké), Guillaume Champeau ajoute que  » Le California Consumer Privacy Act impose d’ores et déjà déjà que lorsqu’un tel signal est envoyé par le navigateur, les sites et régies publicitaires ont l’obligation de le prendre en compte en tant que mode d’exercice du droit d’opposition, à moins de proposer sur leur page d’accueil un lien « clair et visible » d’opt-out (cf la section 1798.135 (b)(1)).
En pratique il s’agit donc de généraliser la spécification technique Global Privacy Control (GPC), qui n’est actuellement supportée que par les navigateurs Firefox, Brave et celui de DuckDuckGo. La loi adoptée AB 3048 obligerait Google (Chrome), Microsoft (Edge) et Apple (Safari) à l’implémenter à leur tour, avec un effet sur l’industrie qui serait alors mondial, à condition que des lois nationales ou des directives régionales (qui a dit ePrivacy ?) imposent également la prise en compte de tels signaux. »

Disponible (en anglais) sur: cppa.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Courthousenews

Google devra bien répondre en justice d’accusations de violation de la loi fédérale américaine protégeant les données des enfants

Google doit répondre à des accusations de violation de la loi fédérale sur la protection des enfants en ligne, ainsi que des lois sur l’enrichissement sans cause et la concurrence déloyale en vigueur dans plusieurs États, en permettant aux développeurs de suivre et de collecter des données sur les enfants sans leur autorisation. Le juge de district P. Casey Pitts a rejeté dans son intégralité la demande de Google de rejeter les plaintes déposées par un groupe d’enfants qui accusent l’entreprise technologique d’avoir violé la loi fédérale sur la protection de la vie privée des enfants en ligne (Children’s Online Privacy Protection Act), qui vise à protéger les enfants contre la collecte de leurs informations personnelles sans le consentement de leurs parents.

« Les plaintes des plaignants, qui portent notamment sur la concurrence déloyale, l’enrichissement sans cause et les violations de la vie privée en Californie, ne sont pas emportées par la loi fédérale », a déclaré M. Pitts.

Dans une ordonnance de 16 pages déposée mardi en fin de journée, le juge a rejeté chacune des tentatives de Google d’esquiver le procès. En ce qui concerne la plainte californienne pour atteinte à la vie privée, par exemple, le géant de la technologie a fait valoir en partie que l’intrusion dans la vie privée n’était pas, comme l’exige la loi de l’État, « hautement offensante ». M. Pitts, estime néanmoins que « aussi peu sensibles ou intimes que soient les informations personnelles collectées ici, écrit-il, l’allégation selon laquelle les défendeurs ont collecté les données en violation de la loi fédérale bien qu’ils aient affirmé que leurs applications de programme [conçues pour les familles] ne faisaient pas de publicité basée sur les intérêts suffit à montrer que l’intrusion des défendeurs dans les attentes des plaignants en matière de respect de la vie privée était très choquante ».

Disponible (en anglais) sur: courthousenews.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Procureur général de Californie

Le procureur général Bonta et le procureur de la ville de Los Angeles annoncent un règlement de 500 000 dollars avec Tilting Point Media pour avoir collecté et partagé illégalement des données sur les enfants

OAKLAND – Le procureur général de Californie, Rob Bonta, et le procureur de Los Angeles, Hydee Feldstein Soto, ont annoncé un règlement de 500 000 dollars avec Tilting Point Media LLC (Tilting Point), qui met fin aux allégations selon lesquelles l’entreprise aurait violé la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et la loi fédérale sur la protection de la vie privée des enfants en ligne (COPPA) en collectant et en partageant les données des enfants sans le consentement de leurs parents dans leur jeu mobile populaire « Bob l’éponge : Krusty Cook-Off ». Outre une amende civile de 500 000 dollars, Tilting Point doit se conformer à des injonctions garantissant une collecte et une divulgation légales des données, notamment en obtenant le consentement des parents et en faisant preuve de diligence lors de la configuration de logiciels tiers dans ses jeux mobiles.

« Les entreprises ont l’obligation légale de protéger les données des enfants et de se conformer aux lois fédérales et étatiques importantes en matière de protection de la vie privée, conçues pour protéger les enfants en ligne. Si elles ne le font pas, elles mettent nos enfants en danger et les rendent vulnérables à la collecte, au suivi et à la vente de leurs données personnelles », a déclaré le procureur général Bonta. « Comme les enfants passent de plus en plus de temps en ligne, que ce soit sur des sites web ou des applications mobiles, nous utiliserons tous les outils d’application de la loi pour nous assurer que la loi est respectée et que les entreprises font preuve de diligence en ce qui concerne les exigences de la loi sur la protection de la vie privée. Je remercie le bureau du procureur de la ville de Los Angeles pour son travail sur cette question et je me réjouis de continuer à collaborer avec les partenaires locaux, étatiques et fédéraux pour protéger la vie privée des enfants. »

Disponible (en anglais) sur: oag.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Procureur général de Californie

Le procureur général Bonta annonce un règlement à l’amiable contre Adventist concernant la divulgation non autorisée de renseignements sur les patients aux forces de l’ordre

SACRAMENTO – Le procureur général de Californie, Rob Bonta, a annoncé aujourd’hui un accord avec Adventist Health Hanford (Adventist) qui résout les violations de la loi sur la concurrence déloyale, de la loi sur la confidentialité des informations médicales (CMIA) et de la règle de confidentialité de la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA) liées aux divulgations non autorisées aux forces de l’ordre des informations médicales de deux patientes, Adora Perez et Chelsea Becker. Dans les deux cas, les femmes enceintes se sont rendues à l’hôpital Adventist pour obtenir une assistance médicale et y ont accouché d’un enfant mort-né. Le personnel de l’hôpital Adventist a fourni aux forces de l’ordre des informations médicales non autorisées, y compris des informations de santé protégées (PHI). À la suite de ces divulgations illégales, les deux patientes ont été poursuivies pour meurtre et incarcérées. L’accord conclu aujourd’hui prévoit des sanctions civiles d’un montant de 10 000 dollars et des mesures d’injonction qui obligent Adventist à protéger les données de santé des patients contre toute communication et exploitation illicites.

« Aucune femme ne devrait être pénalisée pour la perte de sa grossesse« , a déclaré le procureur général Bonta. « Comme nous l’avons dit à plusieurs reprises, l’emprisonnement injustifié des deux femmes en raison de la divulgation non autorisée de données de santé aux forces de l’ordre était illégal. C’est pourquoi le règlement conclu aujourd’hui garantit que les informations de santé personnelles des patients d’Adventist sont traitées avec le plus grand soin et dans le respect de la loi, ce qui rétablira et renforcera la confiance des patients« .

Disponible (en anglais) sur: oag.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut