Vous savez lorsque vous appelez un centre d’assistance téléphonique, et qu’une voix charmante vous avertit que votre appel peut être enregistré, en invoquant des raisons qui sont toutes dans votre propre intérêt ?
Vous êtes-vous déjà demandé ce qu’il advenait de tous ces enregistrements contenant des données personnelles ?
Est-ce que des données personnelles et confidentielles fournies par téléphone en 2014, comme des informations personnelles et privées divulguées lors d’un appel vers un centre officiel d’assistance médicale par exemple, sont soudain apparues publiquement en 2019 ?
Comme des millions de Suédois s’en sont rendus compte soudainement, la réponse est “oui”.
L’un des sous-traitants participant à la gestion de la ligne d’assistance médicale suédoise 1177 (le numéro que vous utilisez pour une aide médicale urgente mais non vitale) a apparemment laissé l’équivalent de six années d’enregistrement d’appel, soit 2 700 000 fichiers audio au format WAV et MP3, contenant potentiellement des données personnelles, sur un serveur accessible librement sur Internet.
Un navigateur web suffisait pour parcourir et télécharger des années d’appels confidentiels.
Ironiquement, selon Computer Sweden, qui a publié une courte vidéo montrant une session de navigation parcourant le contenu du serveur, les fichiers en question étaient disponibles sans chiffrement sur le port 443 depuis un serveur en Suède (le serveur est maintenant hors ligne).
Voici quelques explications.
Les connexions web ont besoin d’un numéro IP et d’un numéro de port pour indiquer le service spécifique qu’ils souhaitent obtenir au niveau d’un serveur spécifique.
Les numéros de port sont un peu comme des extensions de téléphone : le numéro de téléphone principal vous connecte à la réception et l’extension indique la personne ou le service spécifique auquel vous souhaitez vous connecter.
Il existe des milliers de numéros de port couramment utilisés, par convention par exemple, les serveurs de messagerie sont associés au port 25, les connexions web non chiffrées (HTTP) au port 80 et les connexions web chiffrées (HTTPS) au port 443.
En fait, les connexions HTTP et HTTPS sont si souvent associées aux ports 80 et 443 que lorsque vous écrivez une URL telle que http://example.com/
, elle est considérée étant tout simplement un raccourci pour le lien internet plus spécifique http://example.com:80/
, où le numéro de port est explicitement inclus dans l’URL.
De même, https://example.com/
est un raccourci pour https://example.com:443/
.
Ce raccourci fonctionne presque toujours car presque tous les serveurs prenant en charge le protocole HTTPS le font en scrutant les connexions réseau entrantes au niveau du port 443.
Dans ce cas, toutefois, Computer Sweden a indiqué qu’en établissant une connexion http standard et non chiffrée avec le serveur mentionné ci-dessus, mais en utilisant le port 443 au lieu du port 80 habituel, l’ensemble du contenu d’une arborescence de répertoires appelée /medicall
pouvait être consulté.
Autant que nous puissions en juger, les appels ont été répartis dans des sous-répertoires consultables comme illustré ci-dessous…
. . . /medicall/2016/01/01 /medicall/2016/01/02 . . . /medicall/2017/06/01 /medicall/2017/06/02 . . . /medicall/2019/02/01 /medicall/2019/02/02 /medicall/2019/02/03 ...
…et ainsi de suite.
D’après la vidéo, l’appel le plus récent qui a été exposé semble avoir l’horodatage suivant : 2019-02-18T08:59, une date qui correspond à une période plutôt très récente.
L’horodatage le plus ancien visible dans la vidéo remonte au 2014-02-25T10:24, bien que ce fichier se trouve curieusement dans un répertoire nommé /medicall/2013/04/09
.
Selon un rapport de suivi de Computer Sweden, le serveur non sécurisé contenait également des informations sur les appels relatifs aux transferts médicaux, essentiellement des déplacements en ambulance non urgents.
Et quoi d’autre ?
Il est compréhensible que les politiciens suédois ne soient pas réellement surpris mais la Swedish Data Protection Agency mène tout de même une enquête.
Il s’agit d’une énorme perte de confiance au niveau du public et cet événement constitue probablement le test le plus important à ce jour concernant la législation récente relative au RGPD (règlement général sur la protection des données) dans l’Union européenne.
Le RGPD a été mis en place pour obliger les entreprises à réfléchir de manière proactive à la sécurité dans l’espoir d’éviter les violations de données personnelles, et il est axé sur la prévention plutôt que sur les sanctions.
Néanmoins, dans la plupart des pays de l’UE, le RGPD autorise des sanctions beaucoup plus sévères que toutes les législations précédentes, avec des amendes pouvant aller jusqu’à 20 000 000€ ou 4% du chiffre d’affaires des entreprises, en fonction du montant qui sera le plus élevé.
Selon nous, dans cette histoire, il semble y avoir plusieurs niveaux de contrat et de sous-traitance :
- Le service public suédois a passé un contrat avec la société X pour gérer les appels vers le numéro 1177.
- X a sous-traité à M1 la gestion de trois des régions les plus peuplées de Suède.
- M1 a sous-traité à M2, une société suédoise basée en Thaïlande, pour prendre la relève en cas de débordement et hors des heures normales.
- M2 a utilisé le logiciel de centre d’appels fourni par V, dont le stockage dans le cloud était hébergé en Suède.
- Les serveurs de V hébergeaient les fichiers vocaux ouverts à tous.
Reste à savoir à qui la faute dans ce cas et qui assumera la responsabilité au final concernant cette violation de données personnelles.
Quoi faire ?
Si vous avez appelé le 1177, au cours des dernières années en Suède, vous courez peut-être un risque, mais il est peut-être impossible pour les entreprises informatiques impliquées de déterminer le nombre d’enregistrements volés et utilisés de manière malveillante par des escrocs.
Jusqu’à présent, il semble que seuls les appels passés dans les régions de Stockholm, Södermanland et Värmland aient été affectés. Dans ces régions, la gestion des appels en cas de débordement et hors des heures normales de travail a été sous-traitée à une société suédoise basée en Thaïlande, et il semble que seuls les appels pris en charge depuis la Thaïlande fassent partie de cette violation.
Malheureusement, vous ne pouvez donc rien faire de plus que d’attendre de voir ce qui va ressortir des enquêtes en cours.
Plus généralement, notre conseil est le suivant :
- Si vous êtes en Suède, consultez le site web officiel 1177 (1177.se) pour obtenir des informations sur votre région. Toutes les régions du pays n’ont pas été touchées et tous les appels dans les régions touchées ne sont pas concernés par cette violation.
- Pensez à faire valoir votre droit de ne pas être enregistré. Malheureusement, il se peut que vous attendiez plus longtemps avant d’être servi, étant donné que vous devrez souvent attendre qu’une personne soit disponible à l’autre bout de la ligne avant de pouvoir désactiver cette option (si nous sommes de plus en plus nombreux à demander à ne pas être enregistrés chaque fois que nous appelons un centre d’assistance téléphonique, nous aurions peut-être plus de poids pour faire comprendre que l’enregistrement des appels doit être une option à activer plus qu’à désactiver).
- Réfléchissez à la manière dont vous archivez les données personnelles enregistrées, y compris les données audio et vidéo. L’intérêt financier de réutiliser des bandes magnétiques existantes, comme nous le faisions à l’époque de l’analogique, ayant disparu, il est facile de laisser les anciennes données s’empiler indéfiniment, au cas où elles pourraient encore servir. Mais avez-vous vraiment besoin de plusieurs années de données personnelles disponibles en ligne, en temps réel, en masse et non chiffrées ?
- Pensez à utiliser les services de test de pénétration pour rechercher les fuites éventuelles. N’attendez pas qu’un pirate ou un journaliste vienne fouiner et trouve votre serveur web mal configuré en train de scruter un port que vous aviez oublié. Si vous commettez une erreur en matière de cybersécurité, essayez d’être le premier à la trouver afin de pouvoir la traiter avant que tout dommage ne soit causé.
Billet inspiré de Millions of “private” medical helpline calls exposed on internet, sur Sophos nakedsecurity.