43 000 résultats d’analyses médicales exposés sur Internet

En mars 2015, la France avait été secouée par le piratage du site Internet de la chaine de laboratoires Labio. Le groupe de pirates Rex Mundi avait alors demandé une rançon de 20 000 € en échange de la non divulgation des données qui avaient exfiltrées du site Internet. Le laboratoire ayant refusé de céder au chantage, les malfaiteurs avaient publié les résultats sur la toile.

En ce début du mois de décembre, le célèbre chercheur australien Troy Hunt, a publié sur son blog le récit de son étonnante découverte et du combat qu’il a mené.

Health Solutions, une importante chaîne indienne de laboratoires d’analyses médicales exposait sur son site Internet plus de 43 000 résultats d’analyses au format PDF en accès libre !

Après un combat de longue haleine pour entrer en contact avec le laboratoire, par mails, formulaires, alertes auprès de l’administrateur du nom de domaine du site, c’est grâce à l’aide d’un journaliste de BuzzFeed qu’il a pu faire fermer le site qui est toujours indisponible à l’heure actuelle.

Les premières réactions du représentant du laboratoire contacté par téléphone par le journaliste sont édifiantes ! « Nous ne sommes pas des médecins, nos franchisés et nous ne faisons que des analyses de sang, la confidentialité des données n’est pas notre problème… Une nouvelle version du site sera disponible en janvier, le problème sera alors résolu à ce moment-là. »

Il aura fallu la publication d’un article sur BuzzFeed pour mettre la pression au laboratoire et qu’il ferme le site.


Troy Hunt s’étonne encore de l’attitude du laboratoire : « J’ai l’habitude de voir des expositions accidentelles de données, mais elles sont généralement corrigées immédiatement après leur signalement. Attendre la mise à jour de janvier est extrêmement imprudent ! »

Le site fermé, il restait un problème majeur, le moteur de recherche Google avait indexé une partie de ses résultats, mais les avait également mis en cache !

Il était donc possible d’effectuer des requêtes sur ces résultats et donc avoir un listing de patients séropositifs par exemple :

L’indexation et les données en cache ont été supprimées depuis. Lorsqu’on s’appelle Troy Hunt, il est beaucoup plus simple de faire intervenir Google que lorsqu’on s’appelle « Madame Michu ».

Pour échanger quotidiennement avec divers acteurs faisant partie de la chaine de traitement des données de santé, certains ont encore une mentalité assez proche de celle de ce laboratoire indien. Cet incident devrait donner matière à réfléchir à l’ensemble des acteurs qui traitent de près ou de loin des données de santé à caractère personnel. L’écosystème dans son ensemble n’a pas encore conscience de l’impact réel d’une telle fuite de données et des responsabilités associées en cas d’incident.

Partager ce document sur les réseaux