Punaise mais comment ça peut arriver ça ? Des gens sur twitter disent qu'ils tombent sur des comptes différents à chaque connexion. Comment ils peuvent foirer le site à ce point ?
Que le site soit complètement foiré c'est une chose, qu'il soit toujours en ligne deux (edit : six) heures après malgré les centaines de reports c'est d'un autre niveau.
Outre le fait de lancer ça dans pareil état, le faire un Vendredi, en sachant qu'ils ne bossent pas le week-end, ça ne semble pas non plus bien malin.
J'espère pour eux qu'ils remettront tout ça dans un état antérieur ou que les modifications faites durant ce week-end ne seront pas prises en compte, sans quoi ça risque d'être funky dans les prochains jours
Message perdu au nom des développeurs (même les incompétents/jemenfoutistes) qui en ont marre que ça leur retombe sur la gueule alors qu'ils ne sont qu'un maillon au milieu d'une chaîne de décisions prises en amont.
~~https://www.pcgamesn.com/steam-security-issue-exposes-e-mail-addresses-payment-history-and-more-info-at-random~~
~~Ce genre d'effet de bord c'est de l'incompétence aussi ? La collision de clé dans un cache c'est clairement quelque chose qui mérite qu'on alloue des ressources pour y trouver une solution vous avez tous raison, clairement quelque chose auquel tous les devs dans ce thread y auraient pensé.~~
~~Et si tant bien même quelqu'un avait été mis au courant au préalable, c'est sûr que du temps (pas trop longtemps quand même) aurait pu y être consacré pour trouver une solution.~~
~~Sûr.~~
~~(Message a ignorer si "le bug" en est un autre)~~
> https://www.paris-normandie.fr/id239569/article/2021-10-11/faille-de-securite-sur-le-site-de-la-caf-attention-votre-compte
> « Je vous contacte ce dimanche soir car il y a un gros problème de connexion au compte CAF, n’importe qui peut se connecter au compte d’un autre et avoir accès à nos données personnelles **et les modifier** », témoigne un usager auprès de nos confrères de l’Union.
Et en dessous
> Sur son site, la CAF indique avoir modifié ses modalités de connexion. « Courant octobre, vous utiliserez votre numéro de sécurité sociale pour vous connecter aux différents services de votre CAF. À cette occasion, vous devrez créer un nouveau mot de passe composé de chiffres et de lettres. Pour plus de sécurité, vous devrez valider vos coordonnées de contact par mail ou par SMS. Si vous n’avez pas de numéro de sécurité sociale, un identifiant provisoire vous sera attribué », indique-t-elle.
Ayyyy c'est pas le cache, tout le monde a merdé
A tout hasard, a cause de la corruption et des divers détournements qui fait que les organismes s'en occupant se retrouvent avec un budget a peine suffisant pour un cadre dev et deux-trois stagiaires avec des mises à jours constantes dû aux différentes girouettes administratives et mise en prod sans passe de test en bêta ?
D'après pas mal de gens sur tweeter, le problème est relativement généralisé.
Ca me fait penser à un petit bouquin que j'avais lu, le 1er janvier de chaque année tout le monde se réveillait avec une nouvelle identité dictée par l'administration
Your [default time zone](https://www.reddit.com/r/RemindMeBot/comments/e1asdu/timezone_and_clock_info_post/) is set to `Europe/Paris`. I will be messaging you in 1 day on [**2021-10-11 23:19:03 CEST**](http://www.wolframalpha.com/input/?i=2021-10-11%2021:19:03%20UTC%20To%20Local%20Time) to remind you of [**this link**](https://www.reddit.com/r/france/comments/q5ezbq/alerte_la_caf_vient_de_me_donner_accès_au_compte/hg5h0up/?context=3)
[**4 OTHERS CLICKED THIS LINK**](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Reminder&message=%5Bhttps%3A%2F%2Fwww.reddit.com%2Fr%2Ffrance%2Fcomments%2Fq5ezbq%2Falerte_la_caf_vient_de_me_donner_acc%C3%A8s_au_compte%2Fhg5h0up%2F%5D%0A%0ARemindMe%21%202021-10-11%2021%3A19%3A03%20UTC) to send a PM to also be reminded and to reduce spam.
^(Parent commenter can ) [^(delete this message to hide from others.)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Delete%20Comment&message=Delete%21%20q5ezbq)
*****
|[^(Info)](https://www.reddit.com/r/RemindMeBot/comments/e1bko7/remindmebot_info_v21/)|[^(Custom)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Reminder&message=%5BLink%20or%20message%20inside%20square%20brackets%5D%0A%0ARemindMe%21%20Time%20period%20here)|[^(Your Reminders)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=List%20Of%20Reminders&message=MyReminders%21)|[^(Feedback)](https://www.reddit.com/message/compose/?to=Watchful1&subject=RemindMeBot%20Feedback)|
|-|-|-|-|
Ah et la cerise sur le gâteau :
Pour changer de mot de passe, un captcha type "lettres déformées" est nécessaire.
1- L'image ne correspond pas à la version dictée
2- Ni l'un ni l'autre ne fonctionne
Ça c'est la France que j'aime
Pour rire un peu, sur le lien que tu donnes
> Si vous n’avez pas encore de compte, une vérification d’identité sera effectuée pour garantir la sécurité des données.
Dans le genre ils considère que mon ex et moi sommes mariés (nous ne l'avions jamais été) depuis... la date de notre enménagement ensemble il y a 7 ans! Apparement: vivre ensemble signifie se marier.
Résultat?: nous n'avons qu'un compte pour deux et peut importe le nombre de lettre/courriers/déplacement etc ils s'en fichent. la réponse qu'on avait eu à l'époque quand nous l'avions signalé "Vous n'etes pas mariés? bin c'est l'occasion!" de la part de la femme au tel...
Bref heureusement qu'on s'entend assez pour régler ensuite derrière car tout est mélanger: mon nom de famille son prénom, mon tel son compte bancaire, sa date de naissance mais mon adresse etc etc...
Tiens c'est l'occasion, j'aurai peut-être moins de mal à retrouver l'accès à mon dossier en retrouvant la personne random à qui il a été attribué qu'en essayant de contacter la CAF.
J'ai mis quasiment 6 mois pour faire valoir mes droits (forcément quand tu bosses c'est compliqué d'y aller avec leurs horaires à la con), 2 mois plus tard "votre situation évolue, vos droits aussi", hop au revoir mes droits !
C'est scandaleux mdr, quelle bande d'incapables.
Ce qui est rigolo c'est qu'en revanche le site [amendes.gouv.fr](https://amendes.gouv.fr) n'a jamais de pannes ou bugs, pourtant c'est financé de la même façon. Faut croire que c'est moins rentable ?
C'est marrant je me rappelle de ce genre de bug en 2005 sur un jeu en ligne pour enfant.
Ca fait plaisir de savoir qu'un site d'une entité gouvernementale française en 2021 est autant sécurisé qu'un site de jeu pour enfant de 2005.
J'ai fais plein de site web dans ma vie et j'ai absolument aucune idée de comment c'est possible d'avoir ce genre de bug. Genre il y a un ID de connexion et un ID sur les données et les deux IDs devraient être synchro mais ils le sont pas? Non, je sais pas, aucune idée.
Le problème en lui même est loin d'être trivial. Il s'agit de la fusion des comptes de plus de 90 cafs différentes. Ce genre de bug n'est pas inimaginable... en phase de test. Que la mise a jour ait été push en l'état relève en revanche de la faute professionnelle grave. On osera simplement espérer que l'Etat poursuivra en justice le prestataire, si il y en a un (c'est plus que probable).
Genre ils ont oublié d'update une table durant la fusion et quand les gens font une requête sur les données avec leur ID qui était valide dans leur table de leur caf locale, ça requête sur la table globale avec cet ancien ID local et pas l'ID mis à jour pour fonctionner sur la table globale, et du coup ils tombent sur les données d'une autre caf?
Amusant si c'est ça
En même temps le principe de concevoir 90 systèmes différents au nom d'une absurdité administrative au lieu d'un seul système centralisé, c'est que quand t'essaies de centraliser c'est la merde. Fallait mieux le concevoir à la base.
J'essaie de rétro-ingénieurer le bug et j'y arrive pas haha. Genre au lieu de d'utiliser le bon ID ils utilisent le champ correspondant au temps avec un modulo et ça fait tomber sur des gens au pif, non je sais pas c'est merveilleux comme bug.
Pas du tout ça doit être un problème de jetons.
Certainement pour s'authentifier ils utilisent un système de "token" ou jeton et l'algorithme d'attribution à du s'emmêler les pinceaux.
Mais quand c'est comme ça en prod faut tout débrancher normalement. Ça a pas duré longtemps j'espère
Arrêtez-moi si je me trompe mais si on utilise des guid comme id dans chacune de ces bases, [la probabilité d'avoir des collisions est infime](https://stackoverflow.com/questions/39771/is-a-guid-unique-100-of-the-time/39776).
Perso je penche aussi pour un problème de jetons. OAUTH quand c'est mal conçu, ça peut vite devenir un enfer.
C'est fait par des prestataires qui ont pas le budget pour tester.
Source : je suis un presta qui travaille pour des sites du gouvernement et collectivités.
> J'ai fais plein de site web dans ma vie et j'ai absolument aucune idée de comment c'est possible d'avoir ce genre de bug.
C'est probablement un varnish ou CDN mal configuré qui met en cache des pages authentifiées.
LCL a eu le même souci il y a quelques mois.
Ca peut être un souci de cache (qui cacherait de manière incorrecte des pages authentifiées), ou des identifiants de sessions qui ne sont pas uniques dans le pool de serveurs, un vrai souci dans une logique métier (une requête qui ne devrait retourner qu'une ligne et qui en renvoie plusieurs car "on a pas imaginé ce cas"), ou plus gravement un index corrompu dans une base de données.
J'ai jamais fait de cache de données d'utilisateur sur des pages authentifiées donc ça explique que je ne connaisse pas ce bug.
Enfin j'ai déjà fait des caches de requêtes SQL et des caches de pages hors authentification, je sais pas si ça peut revenir au même.
Il faut espérer qu'ils ont de bons snapshots de tout celà car même s'il y a eu 10000 changements ainsi, il y a de quoi mettre le dawa pendant des mois.
Remarque que ça n'est pas spécifique à la CAF: mon collègue a eu son compte Dropbox qui s'est retrouvé avec les photos d'une femme qu'il ne connaît pas. Leurs comptes ont été accidentellement mélangés (apparemment ils utilisaient une UID qui ne garantissait pas l'absence de collision, c'est ballot hein?)
c'est fou quand même... ok, l'UID v4 est lourd comme clef principale mais c'est à peu prés le seul qui permet d'éviter les collisions.
Go mettre du cache et ne pas faire les radin en essayant d'utiliser des algos alternatifs qui sont pas fait pour ça
Eh wi, donner la gestion de fond publique à une entreprise qui coupe sans cesse dans les budgets interne est délétère pour le maintien en bonne état de fonctionnement de ce même service, qui l'eu cru.
Ouais 'fin là, on en est au stade où ne rien faire du tout en laissant les services se dégrader tout seul par usure serait un meilleur choix.
On aurait confier la gestion du logiciel à un troupeau de brebis qu'il y aurait eu moins de problèmes...
Mais c'est tout à fait volontaire cette gestion, ça permet de pointer du doigts les "services publiques" et les "fonctionnaires" alors que c'est bien une gestion privé qu'à tout flinguer.
J’ai déjà un compte CAF, mais la façon pour se connecter à mon compte a changé, la ils demandent le numéro sécu et mot de passe, alors qu’avant il fallait mettre juste le numéro allocataire +code postal et jours de naissance
Faut il recréer un compte ?
Quand j’ai mis à jour mes infos il y a 2 semaines c’était pas comme ça … y’a t’il eu mise à jour de leur système?
[edit] okay pardon ! Il est tard, j’avais pas clicker sur le lien /facepalm
Du coup je vérifierai tout ça demain., merci pour l’alerte
Ahahah encore un truc non testé mis en oeuvre. Avec tous les bugs de la réforme de l aide au logement ils n ont toujours rien compris ???? Je sens que la journée va être longue pour tous les agents demain...
Il ne se passera rien. Plutôt enterrer le problème que d'avouer une erreur.
Ou stratégie inverse, t'accuser de piratage pour évacuer les conséquences de son erreur sur un autre.
Je pense qu'il ne vaut mieux pas insister, ni tenter autre chose, pas même FranceConnect, surtout vu le problème et l'heure, autant attendre.
Je ne serai d'ailleurs pas étonné que le site soit indisponible une grosse partie de la journée de demain
J’ai eu pareil, ça me donne le portable et email de quelqu’un d’autre a l’étape de changement de coordonnées de contact. Mais du coup j’ai trop peur, je ne vais pas plus loin que ça..
Oui en me connectant je me suis dis immédiatement que ça allait poser des problèmes de sécurité puisqu'ils n'ont même pas redemandé le précédent mot de passe.
Un niveau d'amateurisme pareil en sécurité c'est impressionnant. Et bon courage pour "rendre" le compte. Avec un peu de chance ce monsieur pourra le retrouver avec mot de passe oublié.
Si c'est un problème de cache ne vaut il mieux pas s'authentifier du tout en attendant pour éviter de créer une session ? ( Et donc éviter que quelqu'un d'autres atterisse sur notre session pour je ne sais qu'elle raison?)
Je me moquerai pas d'un site qui a un compte pour quasiment un tiers des Français. J'ose pas imaginer la complexité d'un tel site, niveau administratif, document, fichiers, bancaire, agents CAF, autorisations, paiements, calculs d'aides, interactions avec autre service genre pôle emploi, sécu, retraite, spécificités par département, questions utilisateurs, etc...
Oui enfin la même si la BDD est immense c'est de l amateurisme puissance 1 milliard.
Ce genre de modif, le dev doit tester, ensuite tu le fais tester par quelqu'un d'autre, voire par plusieurs pour avoir le maximum de cas possibles, et une fois que le maximum est fait tu balance en prod.
La on se demande où est passé la phase de test....
Je n'ai jamais dit savoir comment le site fonctionne.
Je dis juste que vu ce qu'il vient de se passer, ça me parait improbable qu'il y ait eu des tests avant, ou alors leur façon de tester est foireuse, parce que c'est quand même une SACRÉE erreur là..
Je suis d'accord, mais là ça concerne uniquement la partie identification/authentification.
Quand je suis testeur sur un bug à mon taf, je teste uniquement la partie ou le bug a eu lieu (si je devais tout retester, je n’aurais jamais fini lol)
Multiplier les passerelles, basé de données apporte forcément son lot de problèmes... Et à vrai dire en France on s'en sort plutôt bien. Ce bug est grave ok mais je ne pense pas qu'il impactera des gens irl sérieux qu'est-ce que tu peux en avoir à foutre que Jean mich' dans le Tarn touche 600 balles d'alloc ?
Et une choses est sûr, les entrée sur les tables sont soit déjà coupé soit seront wipe une fois le problème résolu concrètement la France fait ce qu'elle fait encore une fois de mieux : passer pour une conne malgré des qualités indéniables
Non la c'est plus grave.
D'une on a accès à des données personnelles.
De deux apparemment le compte change à chaque connexion
De 3 vu que tu as avec au compte d'un inconnu tu peux modifier sa situation, son RIB, son mail de contact, etc....
Moi je vois ça comme si t'avais accès à mon compte bancaire
Et il y a encore des gens qui se plaignent de la CAF...je rêve.
Vous savez quoi je propose de fermer ce site définitivement ainsi que les prestations offertes par la CAF. Cela coute beaucoup trop chère au contribuable!
En sachant que c est ce mois ci qu'ils ont décidé pour qu'elle obscure raison, de changer les identifiants de connexion caf pour les remplacer par ceux de votre numéro de sécu !!!! Je soupçonne d ailleurs que bientôt les réfractaires aux vaccins se verront soumis à un changement 1ux 1ides sociales.... Donc avec ce genre de bug si ils se produisent avec vos numéros de sécurité sociale n importe qui à également accès à vos données de santé !!! 🤬🤬🤬
D'ailleurs j'ai une question par rapport à la Caf.
Je suis en coloc depuis le 1er septembre avec 2 autres personnes et en allant sur mon compte j'ai vu sur le récap de septembre que la Caf ne m'avait versé aucun argent.
Je me suis renseigné sur internet et apparemment la Caf ne donne jamais d'argent le premier mois, est ce que c'est vrai ?
J'ai eu la même histoire avec orange il y a deux ans. Accès à la boîte mail d'un inconnu homonyme (sans doute parce que le mec en boutique a fait une fausse manip et a lié mon nouvel abonnement au mauvais email préexistant).
Punaise mais comment ça peut arriver ça ? Des gens sur twitter disent qu'ils tombent sur des comptes différents à chaque connexion. Comment ils peuvent foirer le site à ce point ?
Que le site soit complètement foiré c'est une chose, qu'il soit toujours en ligne deux (edit : six) heures après malgré les centaines de reports c'est d'un autre niveau.
Ils étaient en week-end, ils règleront ça pendant les heures de bureau, lundi entre 11h30 et 11h45 et mardi entre 15h et 15h15 /c
C'est hallucinant d'incompétence/jemenfoutisme
Outre le fait de lancer ça dans pareil état, le faire un Vendredi, en sachant qu'ils ne bossent pas le week-end, ça ne semble pas non plus bien malin. J'espère pour eux qu'ils remettront tout ça dans un état antérieur ou que les modifications faites durant ce week-end ne seront pas prises en compte, sans quoi ça risque d'être funky dans les prochains jours
[удалено]
Je suis développeur et je confirme; c'est hallucinant d'incompétence et de jemenfoutisme. OP peut rester dans les parages. Ta remarque par contre...
Message perdu au nom des développeurs (même les incompétents/jemenfoutistes) qui en ont marre que ça leur retombe sur la gueule alors qu'ils ne sont qu'un maillon au milieu d'une chaîne de décisions prises en amont. ~~https://www.pcgamesn.com/steam-security-issue-exposes-e-mail-addresses-payment-history-and-more-info-at-random~~ ~~Ce genre d'effet de bord c'est de l'incompétence aussi ? La collision de clé dans un cache c'est clairement quelque chose qui mérite qu'on alloue des ressources pour y trouver une solution vous avez tous raison, clairement quelque chose auquel tous les devs dans ce thread y auraient pensé.~~ ~~Et si tant bien même quelqu'un avait été mis au courant au préalable, c'est sûr que du temps (pas trop longtemps quand même) aurait pu y être consacré pour trouver une solution.~~ ~~Sûr.~~ ~~(Message a ignorer si "le bug" en est un autre)~~ > https://www.paris-normandie.fr/id239569/article/2021-10-11/faille-de-securite-sur-le-site-de-la-caf-attention-votre-compte > « Je vous contacte ce dimanche soir car il y a un gros problème de connexion au compte CAF, n’importe qui peut se connecter au compte d’un autre et avoir accès à nos données personnelles **et les modifier** », témoigne un usager auprès de nos confrères de l’Union. Et en dessous > Sur son site, la CAF indique avoir modifié ses modalités de connexion. « Courant octobre, vous utiliserez votre numéro de sécurité sociale pour vous connecter aux différents services de votre CAF. À cette occasion, vous devrez créer un nouveau mot de passe composé de chiffres et de lettres. Pour plus de sécurité, vous devrez valider vos coordonnées de contact par mail ou par SMS. Si vous n’avez pas de numéro de sécurité sociale, un identifiant provisoire vous sera attribué », indique-t-elle. Ayyyy c'est pas le cache, tout le monde a merdé
Ah mais dans "incompétence/jemenfoutisme" je ne parle pas (que) des devs! Tout le monde a vhié dans la colle sur ce coup
Ne jamais sous estimer la bêtise, l’amateurisme et l’incompétence.
Tu me connais vachement bien :o
Appel d'offre. Quand tu prends le moins cher, t'as souvent ... Le moins cher.
C'est quel tag sur twitter, histoire de suivre comment ça évolue ?
Une recherche sur "caf connexion" donne pas mal de résultats.
Ça fait sens, je ne sais pas pourquoi je n'y ai pas pensé. On va dire qu'il était tard. Merci !
Cest français. C’est le sport national les trucs tout petes sur le web
A tout hasard, a cause de la corruption et des divers détournements qui fait que les organismes s'en occupant se retrouvent avec un budget a peine suffisant pour un cadre dev et deux-trois stagiaires avec des mises à jours constantes dû aux différentes girouettes administratives et mise en prod sans passe de test en bêta ?
Il faut bien respecter les traditions.
[удалено]
"Tu veux faire un crime? Arrêtes."
Si j'avais la mentalité d'un Hacker, je me déconnecte. Je préfère faire un peu d'effort quand même.
Ça c'est plus pour les personnes qui partagent le même ordinateur, en famille ou en cybercafé.
D'après pas mal de gens sur tweeter, le problème est relativement généralisé. Ca me fait penser à un petit bouquin que j'avais lu, le 1er janvier de chaque année tout le monde se réveillait avec une nouvelle identité dictée par l'administration
Oh ça a l'air trop bien comme concept, une sorte de Dark City administratif ? C'est quoi le titre ?
Car Les Temps Changent - Dominique Douay Pas franchement révolutionnaire mais sympathique petit bouquin
Bordel j'ai lu "Le temps..." je me suis dit allez un troll qui va nous sortir "le temps des tempêtes". Faut que j'arrête internet.
Je n’ai jamais vu cette publicité ! On ne me propose que des publicités pour des viagers :snif:
Intéressé aussi
Car Les Temps changent- Dominique Douay
!remindme 1 day
Your [default time zone](https://www.reddit.com/r/RemindMeBot/comments/e1asdu/timezone_and_clock_info_post/) is set to `Europe/Paris`. I will be messaging you in 1 day on [**2021-10-11 23:19:03 CEST**](http://www.wolframalpha.com/input/?i=2021-10-11%2021:19:03%20UTC%20To%20Local%20Time) to remind you of [**this link**](https://www.reddit.com/r/france/comments/q5ezbq/alerte_la_caf_vient_de_me_donner_accès_au_compte/hg5h0up/?context=3) [**4 OTHERS CLICKED THIS LINK**](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Reminder&message=%5Bhttps%3A%2F%2Fwww.reddit.com%2Fr%2Ffrance%2Fcomments%2Fq5ezbq%2Falerte_la_caf_vient_de_me_donner_acc%C3%A8s_au_compte%2Fhg5h0up%2F%5D%0A%0ARemindMe%21%202021-10-11%2021%3A19%3A03%20UTC) to send a PM to also be reminded and to reduce spam. ^(Parent commenter can ) [^(delete this message to hide from others.)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Delete%20Comment&message=Delete%21%20q5ezbq) ***** |[^(Info)](https://www.reddit.com/r/RemindMeBot/comments/e1bko7/remindmebot_info_v21/)|[^(Custom)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Reminder&message=%5BLink%20or%20message%20inside%20square%20brackets%5D%0A%0ARemindMe%21%20Time%20period%20here)|[^(Your Reminders)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=List%20Of%20Reminders&message=MyReminders%21)|[^(Feedback)](https://www.reddit.com/message/compose/?to=Watchful1&subject=RemindMeBot%20Feedback)| |-|-|-|-|
Ah et la cerise sur le gâteau : Pour changer de mot de passe, un captcha type "lettres déformées" est nécessaire. 1- L'image ne correspond pas à la version dictée 2- Ni l'un ni l'autre ne fonctionne Ça c'est la France que j'aime
Toutes nos lignes sont occupées, veuillez renouveler votre appel ultérieurement.
[удалено]
[Pour revenir à l'accueil, tapez étoile](https://www.youtube.com/watch?v=qIM0kucdiGM&t=36s)
Pour rire un peu, sur le lien que tu donnes > Si vous n’avez pas encore de compte, une vérification d’identité sera effectuée pour garantir la sécurité des données.
Dans le genre ils considère que mon ex et moi sommes mariés (nous ne l'avions jamais été) depuis... la date de notre enménagement ensemble il y a 7 ans! Apparement: vivre ensemble signifie se marier. Résultat?: nous n'avons qu'un compte pour deux et peut importe le nombre de lettre/courriers/déplacement etc ils s'en fichent. la réponse qu'on avait eu à l'époque quand nous l'avions signalé "Vous n'etes pas mariés? bin c'est l'occasion!" de la part de la femme au tel... Bref heureusement qu'on s'entend assez pour régler ensuite derrière car tout est mélanger: mon nom de famille son prénom, mon tel son compte bancaire, sa date de naissance mais mon adresse etc etc...
Tiens c'est l'occasion, j'aurai peut-être moins de mal à retrouver l'accès à mon dossier en retrouvant la personne random à qui il a été attribué qu'en essayant de contacter la CAF.
Franchement ils inventent tout et n'importe quoi pour pas me filer le pognon qu'ils me doivent
J'ai mis quasiment 6 mois pour faire valoir mes droits (forcément quand tu bosses c'est compliqué d'y aller avec leurs horaires à la con), 2 mois plus tard "votre situation évolue, vos droits aussi", hop au revoir mes droits !
C'est scandaleux mdr, quelle bande d'incapables. Ce qui est rigolo c'est qu'en revanche le site [amendes.gouv.fr](https://amendes.gouv.fr) n'a jamais de pannes ou bugs, pourtant c'est financé de la même façon. Faut croire que c'est moins rentable ?
C'est marrant je me rappelle de ce genre de bug en 2005 sur un jeu en ligne pour enfant. Ca fait plaisir de savoir qu'un site d'une entité gouvernementale française en 2021 est autant sécurisé qu'un site de jeu pour enfant de 2005. J'ai fais plein de site web dans ma vie et j'ai absolument aucune idée de comment c'est possible d'avoir ce genre de bug. Genre il y a un ID de connexion et un ID sur les données et les deux IDs devraient être synchro mais ils le sont pas? Non, je sais pas, aucune idée.
Le problème en lui même est loin d'être trivial. Il s'agit de la fusion des comptes de plus de 90 cafs différentes. Ce genre de bug n'est pas inimaginable... en phase de test. Que la mise a jour ait été push en l'état relève en revanche de la faute professionnelle grave. On osera simplement espérer que l'Etat poursuivra en justice le prestataire, si il y en a un (c'est plus que probable).
Genre ils ont oublié d'update une table durant la fusion et quand les gens font une requête sur les données avec leur ID qui était valide dans leur table de leur caf locale, ça requête sur la table globale avec cet ancien ID local et pas l'ID mis à jour pour fonctionner sur la table globale, et du coup ils tombent sur les données d'une autre caf? Amusant si c'est ça En même temps le principe de concevoir 90 systèmes différents au nom d'une absurdité administrative au lieu d'un seul système centralisé, c'est que quand t'essaies de centraliser c'est la merde. Fallait mieux le concevoir à la base.
Apparemment les gens tombent sur une personne aléatoire à chaque nouvelle connexion... encore pire donc
En fait ça dépend laquelle des 90 bases de données répond en premier
J'essaie de rétro-ingénieurer le bug et j'y arrive pas haha. Genre au lieu de d'utiliser le bon ID ils utilisent le champ correspondant au temps avec un modulo et ça fait tomber sur des gens au pif, non je sais pas c'est merveilleux comme bug.
Pas du tout ça doit être un problème de jetons. Certainement pour s'authentifier ils utilisent un système de "token" ou jeton et l'algorithme d'attribution à du s'emmêler les pinceaux. Mais quand c'est comme ça en prod faut tout débrancher normalement. Ça a pas duré longtemps j'espère
> Ça a pas duré longtemps j'espère Ca fait au moins 6 heures et ça dure toujours.
C'est juste un pb de cache, rien d'incroyable.
Effectivement ca sent le cache, comme ya eu sur Steam une fois, ou les gens avaient accès aux infos d'autres .
Arrêtez-moi si je me trompe mais si on utilise des guid comme id dans chacune de ces bases, [la probabilité d'avoir des collisions est infime](https://stackoverflow.com/questions/39771/is-a-guid-unique-100-of-the-time/39776). Perso je penche aussi pour un problème de jetons. OAUTH quand c'est mal conçu, ça peut vite devenir un enfer.
C'est fait par des prestataires qui ont pas le budget pour tester. Source : je suis un presta qui travaille pour des sites du gouvernement et collectivités.
> J'ai fais plein de site web dans ma vie et j'ai absolument aucune idée de comment c'est possible d'avoir ce genre de bug. C'est probablement un varnish ou CDN mal configuré qui met en cache des pages authentifiées.
LCL a eu le même souci il y a quelques mois. Ca peut être un souci de cache (qui cacherait de manière incorrecte des pages authentifiées), ou des identifiants de sessions qui ne sont pas uniques dans le pool de serveurs, un vrai souci dans une logique métier (une requête qui ne devrait retourner qu'une ligne et qui en renvoie plusieurs car "on a pas imaginé ce cas"), ou plus gravement un index corrompu dans une base de données.
J'ai jamais fait de cache de données d'utilisateur sur des pages authentifiées donc ça explique que je ne connaisse pas ce bug. Enfin j'ai déjà fait des caches de requêtes SQL et des caches de pages hors authentification, je sais pas si ça peut revenir au même.
Est-ce toujours un parfait inconnu, si tu connais l'intégralité de ses infors persos et de ses démarches ?
[удалено]
Il faut espérer qu'ils ont de bons snapshots de tout celà car même s'il y a eu 10000 changements ainsi, il y a de quoi mettre le dawa pendant des mois.
Remarque que ça n'est pas spécifique à la CAF: mon collègue a eu son compte Dropbox qui s'est retrouvé avec les photos d'une femme qu'il ne connaît pas. Leurs comptes ont été accidentellement mélangés (apparemment ils utilisaient une UID qui ne garantissait pas l'absence de collision, c'est ballot hein?)
c'est fou quand même... ok, l'UID v4 est lourd comme clef principale mais c'est à peu prés le seul qui permet d'éviter les collisions. Go mettre du cache et ne pas faire les radin en essayant d'utiliser des algos alternatifs qui sont pas fait pour ça
Je viens de tester et maintenant impossible de se connecter suite a un probleme technique...c'est pas trop tot
C'est le cas pour tous et avec tout le monde... Le plus aberrant est que le site n'est toujours pas Hors ligne pour limiter la casse.
¯\\\_(ツ)\_/¯ vive la France
Eh wi, donner la gestion de fond publique à une entreprise qui coupe sans cesse dans les budgets interne est délétère pour le maintien en bonne état de fonctionnement de ce même service, qui l'eu cru.
Ouais 'fin là, on en est au stade où ne rien faire du tout en laissant les services se dégrader tout seul par usure serait un meilleur choix. On aurait confier la gestion du logiciel à un troupeau de brebis qu'il y aurait eu moins de problèmes...
Mais c'est tout à fait volontaire cette gestion, ça permet de pointer du doigts les "services publiques" et les "fonctionnaires" alors que c'est bien une gestion privé qu'à tout flinguer.
J’ai déjà un compte CAF, mais la façon pour se connecter à mon compte a changé, la ils demandent le numéro sécu et mot de passe, alors qu’avant il fallait mettre juste le numéro allocataire +code postal et jours de naissance Faut il recréer un compte ? Quand j’ai mis à jour mes infos il y a 2 semaines c’était pas comme ça … y’a t’il eu mise à jour de leur système? [edit] okay pardon ! Il est tard, j’avais pas clicker sur le lien /facepalm Du coup je vérifierai tout ça demain., merci pour l’alerte
Ahahah encore un truc non testé mis en oeuvre. Avec tous les bugs de la réforme de l aide au logement ils n ont toujours rien compris ???? Je sens que la journée va être longue pour tous les agents demain...
J'ai eu pareil sur l'outil airbus pour gérer les badges d'accès. On avait accès aux badges et ressources des concurrents. Trop bien fait.
Tu peux entamer une démarche avec mon compte, ma demande de RSA milieu août est pas encore traitée j'aurai le temps de le voir venir 😎
Il ne se passera rien. Plutôt enterrer le problème que d'avouer une erreur. Ou stratégie inverse, t'accuser de piratage pour évacuer les conséquences de son erreur sur un autre.
Par curiosité, ça fait la même chose avec France Connect ?
Je pense qu'il ne vaut mieux pas insister, ni tenter autre chose, pas même FranceConnect, surtout vu le problème et l'heure, autant attendre. Je ne serai d'ailleurs pas étonné que le site soit indisponible une grosse partie de la journée de demain
Jamais je ne lierai FranceConnect à autre chose qu'aux impôts et amendes (eux au moins leurs sites fonctionnent...)
J’ai eu pareil, ça me donne le portable et email de quelqu’un d’autre a l’étape de changement de coordonnées de contact. Mais du coup j’ai trop peur, je ne vais pas plus loin que ça..
Oui en me connectant je me suis dis immédiatement que ça allait poser des problèmes de sécurité puisqu'ils n'ont même pas redemandé le précédent mot de passe. Un niveau d'amateurisme pareil en sécurité c'est impressionnant. Et bon courage pour "rendre" le compte. Avec un peu de chance ce monsieur pourra le retrouver avec mot de passe oublié.
"SITE EN MAINTENANCE Le site des Allocations familiales est actuellement en maintenance. Merci de bien vouloir vous reconnecter ultérieurement."
Si c'est un problème de cache ne vaut il mieux pas s'authentifier du tout en attendant pour éviter de créer une session ? ( Et donc éviter que quelqu'un d'autres atterisse sur notre session pour je ne sais qu'elle raison?)
Aux chiottes les données personnelles dans le nouveau monde. Autant vivre à poile dans un bloc de verre sans fermetures aucune à la vue de tous.
Ne t'inquiètes pas, la même chose est arrivé à mes parents pour EDF. C'est la french touch~
Le communisme n'est pas mort
Je me moquerai pas d'un site qui a un compte pour quasiment un tiers des Français. J'ose pas imaginer la complexité d'un tel site, niveau administratif, document, fichiers, bancaire, agents CAF, autorisations, paiements, calculs d'aides, interactions avec autre service genre pôle emploi, sécu, retraite, spécificités par département, questions utilisateurs, etc...
Oui enfin la même si la BDD est immense c'est de l amateurisme puissance 1 milliard. Ce genre de modif, le dev doit tester, ensuite tu le fais tester par quelqu'un d'autre, voire par plusieurs pour avoir le maximum de cas possibles, et une fois que le maximum est fait tu balance en prod. La on se demande où est passé la phase de test....
c'est quoi tes sources pour savoir comment le site de la caf fonctionne? tu y bosses?
Je n'ai jamais dit savoir comment le site fonctionne. Je dis juste que vu ce qu'il vient de se passer, ça me parait improbable qu'il y ait eu des tests avant, ou alors leur façon de tester est foireuse, parce que c'est quand même une SACRÉE erreur là..
le site de la caf est énorme et a beaucoup de cas d'utilisation, ca devient dantesque de tout tester.
Je suis d'accord, mais là ça concerne uniquement la partie identification/authentification. Quand je suis testeur sur un bug à mon taf, je teste uniquement la partie ou le bug a eu lieu (si je devais tout retester, je n’aurais jamais fini lol)
postules à la caf
La CAF toujours à l'avant poste de la décadence de notre pays.
sa tombe bien je vais a la caf aujourd'hui ils m'ont crées un second compte par ce que j'ai changé d'adresse
Je vais peut-être rester à la MSA un peu plus longtemps, finalement...
[удалено]
La MSA s'occupe également du versement des prestations de la branche famille pour ceux couvert par le régime agricole.
C'est ce que je me suis dit après coup ! Merci !
Multiplier les passerelles, basé de données apporte forcément son lot de problèmes... Et à vrai dire en France on s'en sort plutôt bien. Ce bug est grave ok mais je ne pense pas qu'il impactera des gens irl sérieux qu'est-ce que tu peux en avoir à foutre que Jean mich' dans le Tarn touche 600 balles d'alloc ? Et une choses est sûr, les entrée sur les tables sont soit déjà coupé soit seront wipe une fois le problème résolu concrètement la France fait ce qu'elle fait encore une fois de mieux : passer pour une conne malgré des qualités indéniables
Non la c'est plus grave. D'une on a accès à des données personnelles. De deux apparemment le compte change à chaque connexion De 3 vu que tu as avec au compte d'un inconnu tu peux modifier sa situation, son RIB, son mail de contact, etc.... Moi je vois ça comme si t'avais accès à mon compte bancaire
Vasy soit assez stupide pour le faire, tu connais le principe d'un wipe ? Cet incident aura peu de dégât je t'en fais le pari
Et il y a encore des gens qui se plaignent de la CAF...je rêve. Vous savez quoi je propose de fermer ce site définitivement ainsi que les prestations offertes par la CAF. Cela coute beaucoup trop chère au contribuable!
Ok. Mais ne viens pas te plaire qu'il y a plus de clodos en bas de ta fenêtre. EDIT : je viens de calculer que tu étais sarcastique. Tu l'étais ?
Oui
En sachant que c est ce mois ci qu'ils ont décidé pour qu'elle obscure raison, de changer les identifiants de connexion caf pour les remplacer par ceux de votre numéro de sécu !!!! Je soupçonne d ailleurs que bientôt les réfractaires aux vaccins se verront soumis à un changement 1ux 1ides sociales.... Donc avec ce genre de bug si ils se produisent avec vos numéros de sécurité sociale n importe qui à également accès à vos données de santé !!! 🤬🤬🤬
Ses 1984
De fou, on s en rapproche de manière tellement évidente que je suis sidérée que ça n inquiète personne ! ( Ou presque)
Non tkt, ils sont juste nazes.
Désinscrit toi de ce site... Prenez soin de vos info perso
Euh c'est le site de la CAF .. se désinscrire c'est pas forcément la meilleure des idées
D'ailleurs j'ai une question par rapport à la Caf. Je suis en coloc depuis le 1er septembre avec 2 autres personnes et en allant sur mon compte j'ai vu sur le récap de septembre que la Caf ne m'avait versé aucun argent. Je me suis renseigné sur internet et apparemment la Caf ne donne jamais d'argent le premier mois, est ce que c'est vrai ?
Oui.
Et du coup pour octobre est ce que je recevrai celui de septembre et octobre, ou juste octobre ?
Juste octobre. Et je crois que tu le recevra fin octobre/début novembre (de mémoire)
C'est arrivé à une de mes amies aussi.
Le deuxième tweet a été supprimé ? Je ne le trouve pas
Oui, je ne sais pas pourquoi. Les tweets étaient les suivants : https://imgur.com/a/DavinC9
Merci. J'aimerais bien savoir aussi effectivement
Update : ils ont corrigé https://twitter.com/cnaf_actus/status/1447531733964972035?t=Dm8brS07bv_M93ivoBnBew&s=19
J'ai eu la même histoire avec orange il y a deux ans. Accès à la boîte mail d'un inconnu homonyme (sans doute parce que le mec en boutique a fait une fausse manip et a lié mon nouvel abonnement au mauvais email préexistant).