Les circonstances dans lesquelles les données médicales de 1,4 million de Françaises et Français testés pour le covid-19 se sont retrouvées exposées à des pirates s’éclaircissent. Une semaine après les faits, de nouvelles informations confirment qu’il ne s’agit pas d’une erreur de l’Assistance publique-Hôpitaux de Paris (AP-HP), mais bien d’une faille exploitée à des fins malveillantes.
Cette brèche a été confirmée par l’entreprise américaine Hitachi Vantara, dans un communiqué relayé par le journaliste Valéry Marchive sur Twitter le 22 septembre 2021. Hitachi Vantara conçoit le logiciel HCP Anywhere, qu’utilisent les équipes de l’AP-HP pour faire fonctionner Dispose, un outil interne pour déposer et échanger des fichiers entre membres de l’AP-HP.
Une faille secrète dans un logiciel utilisé par l’AP-HP
La brèche en question était une vulnérabilité de type 0-day (ou zero day). Ces failles sont les plus redoutées en sécurité informatique, car elles concernent des faiblesses qui ne sont pas encore documentées. En clair, elles sont passées sous les radars, ou si elles ont été identifiées, elles n’ont pas été rendues publiques pour diverses raisons — elles peuvent être gardées pour plus tard, par exemple.
Dans son communiqué, Hitachi Vantara dit avoir reçu le 13 septembre une notification « d’un de ses clients » sur un souci potentiel concernant HCP Anywhere. Une enquête par les équipes d’ingénierie de l’entreprise a eu lieu et, le 16 septembre, c’est alors qu’a été repéré « un ensemble d’événements complexes et discrets qui pourraient possiblement entraîner une vulnérabilité s’ils étaient exploités par un attaquant malveillant ».
Le lendemain, 17 septembre, Hitachi Vantara a pu fournir un premier script pour atténuer les effets de cette vulnérabilité — les entreprises bénéficiant d’un contrat avec le groupe ont reçu à ce moment-là un message leur signalant la disponibilité du patch. Un jour après, 18 septembre, un correctif complet a été développé et celui-ci a été notifié aux clients du groupe à partir du 19 septembre, selon les procédures courantes.
Il s’avère néanmoins que l’AP-HP était au courant depuis plus longtemps, rapporte Le Monde dans une enquête du 21 septembre. L’Agence nationale de la sécurité des systèmes d’information (Anssi), qui officie en tant que cyber-garde du corps de l’État et, à ce titre, est amenée à soutenir les hôpitaux, a signalé le 9 septembre la circulation de ces données sur Mega, un hébergeur situé en Nouvelle-Zélande.
Des négligences dans la protection et la gestion des données ?
Au-delà du rôle qu’a joué la faille 0-day dans cette fuite de données, et du délai de latence de quelques jours qu’il y a eu entre l’alerte donnée à l’AP-HP et le signalement fait à Hitachi Vantara, le niveau de protection autour de Dispose pose question, du fait du caractère sensible et de l’ampleur des données en jeu. Il y a des informations personnelles, mais aussi médicales de 1,4 million de patients.
En particulier, le quotidien français pointe des négligences dans la façon dont ces données étaient protégées et gérées dans le temps. Ainsi, le lien qui permettait d’accéder aux données n’était protégé que par un mot de passe. En outre, des éléments collectés en septembre 2020 sont restés en place pendant un an, sans aucune purge régulière des données.
Théoriquement, le lien d’accès aurait dû devenir invalide au bout de sept jours et une suppression manuelle des données devait survenir après chaque transfert. À cela s’ajoute une question : les précautions techniques étaient-elles suffisantes ? Les données étaient-elles par exemple chiffrées quand elles étaient stockées sur Dispose, de façon à être bien protégées, faille sur HCP Anywhere ou pas ?
Plusieurs enquêtes sont en cours pour éclaircir les zones d’ombre restantes de l’affaire : une, en interne, de l’AP-HP ; une autre de la Commission nationale de l’informatique et des libertés (Cnil). Une dernière a été lancée par le parquet de Paris, pour tenter de pister le ou les responsables de cet accès frauduleux qui s’est accompagné d’une extraction illicite de données.
Les personnes qui sont concernées par cet incident ont d’ores et déjà dû recevoir un mail de la part de l’AP-HP pour leur expliquer ce qu’il s’est passé et les inviter à la prudence quant à d’éventuels futurs mails qui concerneraient le covid-19. Parmi les données qui ont été sorties figurent l’identité du patient ou de la patiente, son numéro de sécurité sociale, ses coordonnées, le type du test et son résultat.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !