Mercredi 19 août 2020, le chercheur en sécurité Jeremiah Fowler publiait sur le site Secure Thoughts, le résultat de ses découvertes concernant la fuite de plusieurs millions de dossiers médicaux. À l’origine de la fuite, une société d’intelligence artificielle.

Sa découverte remonte au mardi 7 juillet 2020. Il tombe alors sur 2,5 millions d’enregistrements qui semblent contenir des données médicales sensibles et des PII (Personally Identifiable Information). Les dossiers comprenaient notamment des noms de patients, des dossiers d’assurance, des notes de diagnostic médical.

Une société d’intelligence artificielle derrière la fuite

C’est en approfondissant ses recherches que la source de la fuite est identifiée : une société d’intelligence artificielle appelée Cense. Étiquetés comme des préparations, Fawler assimile la présence en ligne des enregistrements médicaux à un dépôt de stockage. Celui-ci serait destiné à conserver temporairement les données pendant qu’elles sont chargées dans le système de gestion de Cense, ou son bot d’intelligence artificielle.

Le chercheur a ensuite procédé à valider la nature des données, avant de contacter Cense pour leur signaler ses découvertes. Peu de temps après, la société restreint l’accès public à la base de données en ligne.

Il faut aller regarder du côté de LinkedIn pour trouver une présentation du profil de Cense, et de son domaine d’activité : « Cense fournit des solutions SaaS de gestion intelligente d’automatisation des processus basées. Son produit comprend Cense Bot qui permet aux utilisateurs d’automatiser les tâches, d’assister les employés et les collaborateurs avec des informations. D’autres solutions comprennent la gestion des tickets, la prise de rendez-vous et la gestion du cycle des processus, entre autres. Il fournit également une gestion intégrale des processus d’entreprise en utilisant des technologies d’apprentissage automatique. Il propose des solutions pour l’éducation, les soins de santé, la vente au détail et le e-commerce ».

D’après l’analyse du chercheur en sécurité, les données fuitées semblaient appartenir à des personnes impliquées dans des accidents de voiture. Elles faisaient également référence à des blessures au cou et à la colonne vertébrale. En plus de ces informations personnelles, les enregistrements listaient aussi des cliniques, ainsi que les fournisseurs d’assurance automobile des personnes impliquées dans les accidents.

Ces données, il est impossible de savoir combien de temps elles ont été exposées au grand public. Ce qui est certain, c’est qu’un problème de configuration a entraîné le stockage de ces données sensibles sur la même adresse IP que le site web de Cense. En supprimant le port de l’adresse IP, le portail de transfert est ainsi ouvert à toute personne disposant d’une connexion internet.

La gestion de cette fuite de données pose question. D’après le compte-rendu de Jeremiah Fowler, il semblerait bien qu’il ait découvert ces enregistrements par hasard. Après avoir été informée de la fuite par le chercheur en sécurité, Cense n’a fait aucune communication sur le sujet. On ne sait pas, par exemple, si les patients concernés ont été informés. D’autre part, les dossiers médicaux étant stockés dans une infrastructure Cloud, il n’est pas impossible que d’autres zones du réseau se soient trouvées exposées.

Les dossiers médicaux, une cible privilégiée des cyberattaques

Dans son article sur Secure Thoughts, le chercheur précise pourquoi les données médicales sont très convoitées : « Les données médicales sont les plus précieuses et elles sont achetées et vendues quotidiennement sur le Dark Web. La société Trustwave a publié un rapport qui évalue les dossiers médicaux à 250 dollars par dossier sur le marché noir, alors que les cartes de crédit se vendent à 5,40 dollars par unité. Il est facile de comprendre pourquoi les cybercriminels voudraient cibler les données les plus précieuses avant toutes les autres. »

Un ransomware (rançongiciel en français), c’est ce à quoi fait allusion le chercheur. Un type de cyberattaque qui continue de se propager. Un rapport rendu par le FBI en février 2020 chiffrait à 3,5 milliards de dollars les pertes dues aux cyberattaques. Aux États-Unis, Garmin faisait récemment les gros titres après avoir payé une rançon de 10 millions de dollars aux hackers qui avaient paralysé l’ensemble de ses services. Un autre ransomware, NetWalker, aurait amassé 25 millions de dollars en rançon en seulement 5 mois.

En Europe, les cas de cyberattaques prennent une ampleur telle que la sphère politique et institutionnelle s’en mêle. Le Conseil de l’Union européenne vient de prononcer des sanctions à l’encontre d’entités russes, chinoises et nord-coréennes. Une première.

En France, les secteurs assurance et santé sont des cibles de choix pour les hackers. En novembre 2019, le CHU de Rouen était victime d’un ransomware. En juillet 2020 c’était au tour de l’assureur MMA d’être la cible d’une attaque similaire.

Jeremiah Fawler insiste : « Les entreprises et les organisations doivent mieux protéger les données qu’elles collectent et stockent, mais lorsque ces données peuvent inclure des informations médicales ou sur les patients, elles ne doivent jamais être stockées en texte plein »