Les professionnels de santé

Le Monde - Comment les données de 1,4 million de Franciliens testés pour le Covid-19 se sont retrouvées dans la nature

il y a 1 mois, par Info santé sécu social

PIRATAGE

Des informations sensibles envoyées manuellement plutôt qu’automatiquement à la Sécurité sociale, une négligence dans leur suppression et une faille inconnue dans un logiciel : telle est la combinaison qui a permis l’attaque subie cet été par l’AP-HP.

Par Martin Untersinger
Publié le 21/09/2021

Les piratages informatiques sont souvent favorisés par un enchaînement inédit de négligences, d’erreurs et de failles. L’attaque subie par l’Assistance publique-Hôpitaux de Paris (AP-HP), qui a compromis les données de 1,4 million de personnes s’étant fait tester autour de l’été 2020 pour le Covid-19, en est une illustration.

Le 15 septembre, lorsque l’organisme qui chapeaute les hôpitaux franciliens annonce l’incident, il ne précise pas un point crucial et inquiétant : les données dérobées ont été, un temps, publiées en libre accès sur Internet. C’est ce qu’a ensuite précisé Martin Hirsch, vendredi 17 septembre, dans un long courriel envoyé, comme la loi l’exige, à chacune des personnes concernées par cette fuite de données. Le patron de l’AP-HP y précise que les données piratées ont été publiées « sur une plate-forme de téléchargement hébergée en Nouvelle-Zélande ». Il s’agit de la plate-forme Mega, anciennement MegaUpload. « Cet accès a été coupé le 14 septembre 2021 », affirme M. Hirsch.

L’AP-HP précise avoir été avertie de la publication des données le 9 septembre. Les données ont donc été accessibles pendant au moins cinq jours

Sollicitée, l’AP-HP indique avoir été avertie de la publication des données le 9 septembre par l’Agence nationale de la sécurité des systèmes d’information (Anssi), le garde du corps numérique de l’Etat. Les données ont donc été accessibles pendant au moins cinq jours. Ont-elles pu être téléchargées par des tiers ? Contactées, l’Anssi et Mega n’ont pas souhaité répondre à nos questions et nous ont renvoyés vers l’AP-HP. Cette dernière nous a dit ne pas avoir « connaissance à ce stade d’éléments sur la circulation ou la vente de ces données ».

Comment les nom, prénom, date de naissance, sexe, numéro de Sécurité sociale, résultat du test et, dans certains cas, adresse postale, numéro de téléphone et adresse courriel de près d’un million et demi de personnes ont-ils été mis en ligne ? Le fil des événements, que Le Monde est en mesure de retracer, commence en septembre 2020.

Des données envoyées manuellement
Un glouton est né quelques mois auparavant dans les entrailles de l’AP-HP. Il s’appelle Sidep : le fichier informatique qui centralise, chaque jour, les résultats de l’intégralité des tests réalisés sur le territoire français. De là, des données partent notamment vers l’Assurance-maladie, chargée du contact tracing : l’organisme utilise les informations contenues dans Sidep pour contacter les individus testés positifs et recenser les personnes que ceux-ci auraient pu contaminer alors qu’ils ne se savaient pas encore malades.

Aujourd’hui, cet envoi vers l’Assurance-maladie est automatique et sécurisé. Mais en septembre 2020, le dispositif d’envoi n’est pas encore fonctionnel. Les salariés de l’AP-HP doivent donc envoyer manuellement à leurs confrères de l’Assurance-maladie les données nécessaires. Pour cela, ils ont recours à un service interne à l’AP-HP, appelé Dispose et utilisé par les salariés du groupement hospitalier pour s’échanger divers fichiers.

Il s’agit de l’équivalent des services Box ou Dropbox, hébergé par les serveurs de l’AP-HP : ses agents y déposent les données, qui peuvent ensuite être récupérées par l’Assurance-maladie au moyen d’un lien. Pour chaque envoi, un mot de passe est transmis aux équipes de l’Assurance-maladie par un canal séparé. C’est le cas pour cet envoi, qui concerne des données de tests, principalement de Franciliens, réalisés sur une période de cinq mois, entre juin et octobre 2020.

Cela n’est pas prévu par le texte du décret instaurant Sidep et implique des risques en matière de protection des données. L’AP-HP se défend, mettant en avant les « mesures de chiffrement » des données présentes sur cette plate-forme, qui dispose en outre « de la certification “hébergement de données de santé” », et expliquant avoir adopté cette solution « plutôt que de mettre en danger le contact tracing et d’affaiblir les outils de pilotage de la dynamique épidémique ».

Des données non purgées
La Commission nationale de l’informatique et des libertés (CNIL), qui surveille Sidep comme le lait sur le feu, a été informée de ce mode de fonctionnement, n’y a rien trouvé à redire et « a vérifié que les fonctionnalités basiques d’authentification étaient bien mises en place », explique au Monde l’institution. L’enquête ouverte par la CNIL « devra permettre de déterminer si l’AP-HP s’est acquittée de ses obligations en matière de sécurité informatique pour cet outil », précise-t-elle. L’Assurance-maladie, quant à elle, n’a pas souhaité répondre à nos questions.

En théorie, après chaque transfert, les données étaient supprimées manuellement. Le lien permettant l’accès à celles-ci était en outre censé s’autodétruire après sept jours. Les données placées sur Dispose en septembre 2020 sont pourtant restées pendant un an sur les serveurs de l’organisme. Concrètement, quiconque disposait du lien pouvait accéder à la page du téléchargement. Seul un mot de passe empêchait l’exfiltration des données. Comment expliquer cette défaillance ? « L’enquête interne en déterminera les raisons », précise-t-on à l’AP-HP.

Une faille inconnue du constructeur
C’est ici qu’intervient une faille informatique. L’AP-HP est avertie de son existence par l’Anssi le 30 août dernier. Dans la foulée, dès le 2 septembre, le parquet de Paris ouvre une enquête préliminaire autour de plusieurs chefs d’accusation de piratage informatique et confie l’enquête aux policiers spécialisés en cybercriminalité de la préfecture de police.

« Les données pourraient être utilisées pour des attaques par hameçonnage contre les personnes concernées », explique la CNIL

Si l’organisme hospitalier parisien ne souhaite faire aucun commentaire sur le service de partage de fichiers Dispose, Le Monde a eu confirmation que la faille se situait dans HCP Anywhere, le logiciel développé par l’entreprise Hitachi et utilisé par l’AP-HP pour faire fonctionner Dispose. Cette faille, dont les contours exacts ne sont pas connus, permettait de contourner la protection offerte par le mot de passe et de télécharger les données. La faille n’était pas publique et même inconnue du constructeur au moment du piratage, qui a eu lieu au cours de l’été, preuve que les pirates étaient bien renseignés.

Interrogé par Le Monde, Hitachi a reconnu, mardi 21 septembre, avoir été alerté d’une potentielle vulnérabilité le 13 septembre « par l’un de [ses] clients ». Après avoir identifié cette défaillance, le constructeur a mis à la disposition des utilisateurs, dimanche 19 septembre, une mise à jour de sécurité.

Les personnes dont les données ont été publiées doivent être vigilantes dans les prochaines semaines. « Les données pourraient être utilisées pour des attaques par hameçonnage (“phishing”) contre les personnes concernées », explique ainsi la CNIL. Concrètement, les pirates pourraient utiliser les données éventuellement récupérées pour envoyer des courriels d’arnaque très personnalisés. Rien de tel, en effet, que des informations comme une adresse ou un numéro de Sécurité sociale pour crédibiliser un e-mail faisant croire à un message d’une banque, d’une assurance ou de n’importe quel service en ligne afin de soutirer un mot de passe ou un numéro de carte bancaire.