Fuite des données de patients français : pourquoi est-il difficile de savoir si vous êtes concerné ?
Est-ce que mes données font partie de la fuite ? C'est la question que tous les Français se posent depuis que Libération a publié, le 23 février, son enquête sur une fuite de données de 500 000 patients. Accessible gratuitement en ligne, la base de données circule vite dans le milieu. Il faut dire qu'elle est facile à trouver pour qui sait chercher. La majorité des personnes se procurent la base dans le seul but de savoir si leurs proches y figurent, et s'ils y sont, quelles données ont été compromises.
Clément Domingo, aussi connu sous son nom de hacker SaxX, a de son côté récupéré la base sur un groupe Telegram. S'il n'est pas spécialiste des fuites de données à proprement parler, ses compétences lui ont permis de la manipuler et d'en tirer des informations plus précises. Étant Rennais, il a donc alerté les journaux locaux, Ouest-France et Le Télégramme, sur la surreprésentation des Bretons parmi les victimes de la fuite. Ensuite, il a voulu répondre à la demande populaire, et a songé à créer un outil pour que chacun puisse savoir si ses informations figurent ou non dans la fuite. Une sorte de Have I Been Pwned, l'outil de référence du milieu, dédié à cette seule fuite.
Mais le hacker n'a pas fait aboutir son idée. « Après en avoir discuté avec des personnes compétentes, j'ai réalisé qu'il fallait que je me protège », explique-t-il à Cyberguerre. Mettre en place un tel outil revient à s'exposer au droit, puisqu'il manipulerait des données personnelles, protégées dans le cadre du règlement général sur la protection des données. Clément Domingo préfère éviter ce risque légal, et tente en attendant de contacter les autorités publiques pour travailler avec eux sur le sujet.
Un outil risqué légalement pour vérifier sa présence dans la base fuitée
D'autres n'ont pas pris les mêmes précautions. Une personne a pris l'initiative de créer un outil, medifuite[.]site pour répondre à la demande populaire. Le site, extrêmement basique, propose aux visiteurs de rentrer leur prénom et nom pour savoir s'ils figurent dans la base de données. La présence du nom dans la base est d'ailleurs la seule information que renvoie le site : il ne précise pas quels types de données l'accompagnent.
En bas de page, on ne retrouve ni d'à-propos ni de mentions légales. Il est simplement indiqué « contactez-moi » avec un lien vers le compte LinkedIn de Gwendal Hemeury, un étudiant en alternance chez Atos, où il occupe un poste d'ingénieur cybersécurité.
Contacté par Cyberguerre, il explique sa démarche : « Ma famille m'a demandé s'ils étaient dans la base. Dans la soirée, j'ai récupéré la base de données sur un forum du darkweb, puis j'ai regardé s'il existait un outil qui permettait de faire la vérification. Puisqu'il n'existait pas, je l'ai créé. » Il précise que le site (qu'il a créé seul) ne consiste qu'en un « simple mécanisme d'affichage » et il affirme qu'aucune donnée entrée par les visiteurs n'est sauvegardée.
« Même avec un but très louable, la personne qui crée l'outil crée un traitement de données personnelles. Elle prend des risques, car elle détient et manipule les données », prévient Sabine Marcellin, avocate spécialisée en droit du numérique et de la cybersécurité. « Avant même de considérer les risques, la constitution du traitement peut déjà être considérée comme non conforme », ajoute-t-elle. Ensuite, le RGPD exige des protections renforcées en cas d'hébergement de données sensibles, comme les données santé contenues dans la base. « Le niveau de sécurité doit être adapté, et plus élevé à tout point de vue, physique, comme technique », précise l'avocate. Les hébergeurs de données de santé doivent notamment obtenir un certificat particulier pour attester de ces mesures renforcées.
Sur Twitter, Matthieu Audibert, officier gendarme et doctorant en droit privé et sciences criminelles, ajoute une autre dimension à l'affaire.
https://twitter.com/GendAudibert/status/1364934696795332614
Il cite le Code pénal : puisque la base de données provient d'un vol, les personnes qui la détiendraient pourraient être poursuivies pour recel, et risqueraient une punition allant jusqu'à cinq ans d'emprisonnement et 375 000 euros d'amende.
Des initiatives privées, en attendant une intervention des autorités publiques ?
Gwendal Hemeury a conscience du risque qu'il prend, et il a pris certaines précautions : « Avant de mettre la base de données en ligne, j'ai coupé toutes les informations qu'elle contient, sauf le prénom et le nom, puis je l'ai chiffrée. » Même si le site est piraté, et que les hackers parviennent à décrypter la base, ils ne trouveront que ces deux informations. « Les prénoms et noms sont déjà des données personnelles », rappelle tout de même Sabine Marcellin, avant de nuancer « s'il n'y a pas de données de santé, cela limite les difficultés que le créateur pourrait rencontrer». Gwendal Hemeury a recontacté Cyberguerre le vendredi 25 février à 18h pour nous prévenir qu'il allait fermer son site, car il souhaitait éviter tout éventuel litige avec la Cnil, l'autorité des données françaises.
Pour l'étudiant, la fin justifie les moyens : « On ne peut pas faire autrement que de mettre le nom et le prénom.» S'il a été le premier a créé un outil, un autre existe déjà, développé par ACCEIS, un cabinet rennais d'expertise en cybersécurité. Le CEO de l'entreprise, Yves Duchesne, nous a contacté pour en parler. Son outil permet également de savoir si l'on figure dans la base, mais il demande le numéro de sécurité sociale au lieu du nom. « Si l'on prenait les noms et prénoms, cela permettrait à n'importe qui de vérifier si son voisin figure dans la liste. On permettrait donc à des personnes de savoir que leurs voisins ont fait des tests en laboratoire, et c'est une métadonnée intéressante. En utilisant le numéro de sécurité social, qui est plus confidentiel, on évite ce biais », justifie-t-il.
Le dirigeant insiste sur les précautions qu'il a prises, et il est parvenu à répondre à chacune de nos inquiétudes. Pour commencer, son équipe a pseudonymisé les données : « les données ne sont pas sur le serveur qu'on expose. Nous n'exploitons que des empreintes cryptographiques ». Concrètement, il affirme qu'il a extrait les empreintes à partir de la base de données volées, puis qu'il a supprimé la base, et ne la détient plus. Une personne qui récupèrerait ces empreintes ne pourrait en tirer de la valeur sans la clé cryptographique utilisée par l'entreprise. Ensuite, Yves Duchesne explique que ses serveurs ne reçoivent pas les numéros de sécurité sociale en clair, puisque son équipe s'assure, d'après lui, que les navigateurs (Chrome, Firefox, Explorer) des visiteurs chiffrent cette donnée.
Il affirme également que même les adresses IP sont supprimées avant de leur parvenir. « Nous savons qu'il n'est pas neutre de mettre en place une application de ce type-là. Nous avons d'ailleurs adapté notre documentation RGPD pour en prendre compte », déclare-t-il. Malgré la bonne intention affichée, et les très nombreuses précautions apparentes qui prouvent que le projet n'a pas été fait à la va-vite, le problème reste le même pour les utilisateurs : il faut faire confiance à une initiative privée, et croire en la bienveillance affichée. Et dans tous les cas, l'outil ne précise pas quelles données ont été compromises.
Contactée pour connaître son avis sur ce genre d'initiatives, la Cnil a répondu, après publication de l'article. « De façon générale, tout ce que nous pouvons dire c’est que ce type d’outils nécessite le traitement de données personnelles et qu’ils doivent par conséquent être conformes à la LIL et au RGPD ». Autrement dit, puisque ce genre d'outil ne peut vraiment se passer des données personnelles pour fonctionner, la Cnil écarte de fait cette possibilité.
Bien que questionnables légalement, les projets privés portés par Gwendal et Yves viennent remplir un vide d'inquiétude laissé par les autorités publiques. Pour l'instant, l'Anssi, à la pointe sur ces sujets, ne s'est pas exprimée. La Cnil s'est quant à elle contentée d'un rappel du processus de notification inscrit dans le RGPD. Aucun projet d'avertissement des victimes de la fuite n'a été discuté publiquement pour l'heure. Interrogée par Cyberguerre sur l'éventualité de la création outil de vérification public, l'autorité française des données indique « qu’il ne revient pas à la CNIL de mettre à disposition des outils de cette nature ».
Pourtant, les instances publiques sont les plus à même de le faire. Du moins légalement. « Un acteur public pourrait créer ce genre d'outil, car il aurait une légitimité à traiter les données », expose Sabine Marcellin. « Ce sont les seuls acteurs qui pourraient se permettre de faire l'intermédiaire entre les données volées et les victimes », constate-t-elle. En attendant qu'une telle initiative voie éventuellement le jour, les Français inquiets n'ont d'autres choix que de patienter ou d'utiliser des outils privés...
Article publié le 25 février à 17h15, mis à jour le 26 février à 10h25.