Site icon Sophos News

Données personnelles médicales : Des millions d’enregistrements vocaux exposés sur internet

donnees personnelles

Vous savez lorsque vous appelez un centre d’assistance téléphonique, et qu’une voix charmante vous avertit que votre appel peut être enregistré, en invoquant des raisons qui sont toutes dans votre propre intérêt ?

Vous êtes-vous déjà demandé ce qu’il advenait de tous ces enregistrements contenant des données personnelles ?

Est-ce que des données personnelles et confidentielles fournies par téléphone en 2014, comme des informations personnelles et privées divulguées lors d’un appel vers un centre officiel d’assistance médicale par exemple, sont soudain apparues publiquement en 2019 ?

Comme des millions de Suédois s’en sont rendus compte soudainement, la réponse est “oui”.

L’un des sous-traitants participant à la gestion de la ligne d’assistance médicale suédoise 1177 (le numéro que vous utilisez pour une aide médicale urgente mais non vitale) a apparemment laissé l’équivalent de six années d’enregistrement d’appel, soit 2 700 000 fichiers audio au format WAV et MP3, contenant potentiellement des données personnelles, sur un serveur accessible librement sur Internet.

Un navigateur web suffisait pour parcourir et télécharger des années d’appels confidentiels.

Ironiquement, selon Computer Sweden, qui a publié une courte vidéo montrant une session de navigation parcourant le contenu du serveur, les fichiers en question étaient disponibles sans chiffrement sur le port 443 depuis un serveur en Suède (le serveur est maintenant hors ligne).

Voici quelques explications.

Les connexions web ont besoin d’un numéro IP et d’un numéro de port pour indiquer le service spécifique qu’ils souhaitent obtenir au niveau d’un serveur spécifique.

Les numéros de port sont un peu comme des extensions de téléphone : le numéro de téléphone principal vous connecte à la réception et l’extension indique la personne ou le service spécifique auquel vous souhaitez vous connecter.

Il existe des milliers de numéros de port couramment utilisés, par convention par exemple, les serveurs de messagerie sont associés au port 25, les connexions web non chiffrées (HTTP) au port 80 et les connexions web chiffrées (HTTPS) au port 443.

En fait, les connexions HTTP et HTTPS sont si souvent associées aux ports 80 et 443 que lorsque vous écrivez une URL telle que http://example.com/, elle est considérée étant tout simplement un raccourci pour le lien internet plus spécifique http://example.com:80/, où le numéro de port est explicitement inclus dans l’URL.

De même, https://example.com/ est un raccourci pour https://example.com:443/.

Ce raccourci fonctionne presque toujours car presque tous les serveurs prenant en charge le protocole HTTPS le font en scrutant les connexions réseau entrantes au niveau du port 443.

Dans ce cas, toutefois, Computer Sweden a indiqué qu’en établissant une connexion http standard et non chiffrée avec le serveur mentionné ci-dessus, mais en utilisant le port 443 au lieu du port 80 habituel, l’ensemble du contenu d’une arborescence de répertoires appelée /medicall pouvait être consulté.

Autant que nous puissions en juger, les appels ont été répartis dans des sous-répertoires consultables comme illustré ci-dessous…

. . .
/medicall/2016/01/01
/medicall/2016/01/02
. . .
/medicall/2017/06/01
/medicall/2017/06/02
. . .
/medicall/2019/02/01
/medicall/2019/02/02
/medicall/2019/02/03
...

…et ainsi de suite.

D’après la vidéo, l’appel le plus récent qui a été exposé semble avoir l’horodatage suivant : 2019-02-18T08:59, une date qui correspond à une période plutôt très récente.

L’horodatage le plus ancien visible dans la vidéo remonte au 2014-02-25T10:24, bien que ce fichier se trouve curieusement dans un répertoire nommé /medicall/2013/04/09.

Selon un rapport de suivi de Computer Sweden, le serveur non sécurisé contenait également des informations sur les appels relatifs aux transferts médicaux, essentiellement des déplacements en ambulance non urgents.

Et quoi d’autre ?

Il est compréhensible que les politiciens suédois ne soient pas réellement surpris mais la Swedish Data Protection Agency mène tout de même une enquête.

Il s’agit d’une énorme perte de confiance au niveau du public et cet événement constitue probablement le test le plus important à ce jour concernant la législation récente relative au RGPD (règlement général sur la protection des données) dans l’Union européenne.

Le RGPD a été mis en place pour obliger les entreprises à réfléchir de manière proactive à la sécurité dans l’espoir d’éviter les violations de données personnelles, et il est axé sur la prévention plutôt que sur les sanctions.

Néanmoins, dans la plupart des pays de l’UE, le RGPD autorise des sanctions beaucoup plus sévères que toutes les législations précédentes, avec des amendes pouvant aller jusqu’à 20 000 000€ ou 4% du chiffre d’affaires des entreprises, en fonction du montant qui sera le plus élevé.

Selon nous, dans cette histoire, il semble y avoir plusieurs niveaux de contrat et de sous-traitance :

Reste à savoir à qui la faute dans ce cas et qui assumera la responsabilité au final concernant cette violation de données personnelles.

Quoi faire ?

Si vous avez appelé le 1177, au cours des dernières années en Suède, vous courez peut-être un risque, mais il est peut-être impossible pour les entreprises informatiques impliquées de déterminer le nombre d’enregistrements volés et utilisés de manière malveillante par des escrocs.

Jusqu’à présent, il semble que seuls les appels passés dans les régions de Stockholm, Södermanland et Värmland aient été affectés. Dans ces régions, la gestion des appels en cas de débordement et hors des heures normales de travail a été sous-traitée à une société suédoise basée en Thaïlande, et il semble que seuls les appels pris en charge depuis la Thaïlande fassent partie de cette violation.

Malheureusement, vous ne pouvez donc rien faire de plus que d’attendre de voir ce qui va ressortir des enquêtes en cours.

Plus généralement, notre conseil est le suivant :


Billet inspiré de Millions of “private” medical helpline calls exposed on internet, sur Sophos nakedsecurity.

Exit mobile version