Non classé Perso

Holy Shit

In June, 2009, a Cornell-owned computer that contained a large amount of administrative data was stolen. Our review of a current backup of the files on the system revealed that confidential personal data for about 45,000 current and former staff and students, and some dependents, had been present.

C’est vraiment l’horreur. Le vol d’identité est en effet très facile une fois qu’on dispose du numéro de sécurité sociale et de l’adresse. Cela inclut par exemple l’ouverture de cartes de crédit à votre nom, etc… Ce système d’identification via le numéro de sécu est l’un des trucs les plus débiles qui existe aux USA. En attendant, je flippe et suis contraint de faire très attention :

When you receive your credit reports, please examine them carefully for accounts you did not open or for inquiries from creditors that you did not initiate. Review your personal information, such as home address and Social Security number for accuracy. If you see anything you do not understand, call the credit agency at the telephone number on the report

Il faut lire aussi l' »explication » de l’incident :

A member of the Cornell technical staff, who is responsible for supporting our central administrative systems, was using these files to correct transmission errors found in the processing of the files. The data was being used for troubleshooting. Cornell’s information security policies and guidelines do not allow unencrypted confidential personal data to be stored on any computer device that is not in a physically secured location. This employee’s actions, although unintentional, violated our policy and practices.

Du troobleshooting at home avec des données sensibles sur 45000 personnes…. Le type a certainement été viré manu militari.

Compte-tenu de la débilité américaine administrative typique de ce système, à n’en pas douter, l’étranger que je suis est particulièrement menacé. Je suis furieux, cela valait bien un petit coup de gueule sur mon blog … (Nicolas, tu es concerné aussi ?)

About the author

tom.roud

12 Comments

  • Au cours de mes quelques voyages aux États-Unis, j’ai toujours été frappé par la légèreté avec laquelle était traitée les numéros de carte: demande de numéros par mail, absence de terminaux de paiement dans les magasins, inscription du montant de la transaction à la main.

    Est-ce que je suis paranoïaque, ou bien est-ce que cela reflète une réalité américaine?

  • Je ne pense pas que Rockfeller soit touché par le problème. En tout cas, dans la troisième institut du Tri-Institute, je n’ai pas entendu parler de ce problème.

  • @ jean : oui, je ne sais pas si c’est vrai, mais il parait que l’une des raisons pour lesquelles les cartes à puces n’ont pas traversé l’Atlantique est que c’est une invention francaise…
    @ mix : non, mais Cornell, Rockefeller et Sloan-Kettering forment le tri-Institute dans l’upper East Side. Les liens sont forts entre les trois (par exemple ils ont des logements quasiment en commun).

  • c’est même une des raisons pour lesquelles les terminaux à biométrie (empreinte digitale) ne sont pas plus répandus : beaucoup de banques ne sont même pas encore passés à la puce, ….alors la biométrie.
    Les français sont tellement habitués à la carte à puce, qu’ils ne se doutent pas que ce n’est pas si répandu que ça
    bonne chance

  • Hi Tom,
    bon courage. Perso, je n’ai jamais été payé par Cornell, donc je crois que je ne suis pas concerné (ce qui ne m’empêche pas de surveiller les relevés de mes nombreux comptes en banque dans des paradis fiscaux offshore, évidemment).

  • Tout d’abord barvo pour ce blog que je suis avec beaucoup de plaisir.

    un commentaire :

    J’ai vécu en Angleterre quelques temps et j’ai également eu le plaisir de voir mes données personnelle disparaitre dans la nature :

    http://en.wikipedia.org/wiki/2007_UK_child_benefit_data_misplacement

    (cela dit je n’étais pas le seul, on était 10 millions a etre concerné !) Au final les données ne sont probablement pas tombé dans de mauvaises mains; Ouf

    La perte des données est aussi due a la négligence, ils ont mis toute leurs base de données sur un CD plutôt que te faire une extraction des données utiles..

    Une question : Pensez vous que ce genre de perte de données peut arriver en France ? Pensez vous que si cela arrivait il y aurait communication vers le public ?
    J’ai le sentiment qu’en France on obterait plus pour la discretion (pour ne pas attirer les pirates ?) que pour la communication. Partagez vous ce sentiment ?

  • Merci sebl !

    Le problème est beaucoup plus grave qu’une simple perte de données. Ces données personnelles, si elles tombaient entre de mauvaises mains, pourraient avoir pour conséquence ce qu’on appelle des vols d’identité. Voir par exemple :

    http://www.idtheftcenter.org/

    Cela peut avoir de graves conséquences, sur l’attribution de crédits, etc…

    Pour la France, je pense qu’il y a beaucoup de différences. J’ai d’abord le sentiment que la constitution de tels fichiers est autrement plus réglementée et contrôlée par la CNIL. Plus généralement, en France, il me semble qu’on est beaucoup plus concerné par tout ce qui relève de la gestion de données personnelles et des fichiers, que cela soit par l’Etat ou par des sociétés privées.

    J’avoue ne pas comprendre comment les Américains peuvent accepter de faire tant de choses sur la simple base du numéro de sécurité sociale, alors qu’en parallèle, il n’y a pas d’obligation d’avoir des pièces d’identité officielle. En France, c’est le contraire, je pense que nos papiers délivrés par l’Etat nous « protègent » de ce genre de desagrément : toutes les institutions contrôlent nos papiers avant de nous délivrer un crédit, je pense par exemple que si une banque délivrait un prêt sur la base de faux-papiers, ce serait pour sa pomme et n’aurait pas grande conséquence pour la personne aux papiers volés.

  • Dans notre série « ça n’arrive pas qu’aux autres »… Mon numéro de CB a apparement été volé en France. Pour « m’éviter les ennuis », ma banque a réagi très rapidement, et bloqué ma carte.

    Hein ? sans me prévenir ? Oui, sans me prévenir, effectivement. Ni tenir compte du fait que je suis à l’étranger. Je les adore.

  • Tiens, Bank of America m’a fait la même chose hier pour cause d’activités suspectes (ils m’ont prévenu, eux, mais ont bloqué la carte d’abord, cf mon blog pour ceux que ma vie intéresse, sur la teneur de ces activités).
    Plus de peur que de mal, 15 minutes au téléphone avec un responsable fraudes de BoA qui m’a fait un petit interrogatoire.
    J’imagine qu’avec l’explosion des achats en ligne et tout ça (surtout aux US) ils ont du revoir leurs mesures de sécurité…

Leave a Comment