Une possible exploitation offensive des données de santé



 

Le marché des technologies concernant l’amélioration de la santé, et les performances sportives sont actuellement en plein essor générant ainsi 1,1 milliards d’euro en 2017. L’offre de produits est étendue allant de la gamme de montres intelligentes, aux vêtements et aux petits capteurs d’activités. Ces dispositifs portables ont la capacité d’enregistrer de nombreuses données comme, les fonctions cardiorespiratoire, l’intensité de l’activité, le sommeil, ou encore l'état émotionnel. La restitution de ces informations fournies à l’utilisateur un état de sa condition physique, ainsi que les éventuels point d’améliorations. En 2017, le nombre d’applications de santé et bien être, appelées aussi mhealth, pour mobile health application a été estimé à 325.000 à travers le monde.  A ce jour, seule 5% des technologies ont été officiellement validées. Le fait que 84% de ces applications mobiles soient gratuites, peut nous questionner sur la façon dont les développeurs rémunèrent leurs efforts, et puissent trouver un retour sur investissement. Cette nouvelle discipline de suivi de condition physique, se trouve être un croisement entre plusieurs domaines divers et variés, comme la physiologie, la psychologie, la mécanique, et l’informatique. L’ouverture de ce nouveau champ économique se confronte à la manière de valoriser une quantité d’informations variée et hétérogène. Ainsi, toute la  valeur ajoutée réside dans la capacité à trouver le bon compromis entre les technologies et donc la masse de données collectée, avec la pertinence pour l’utilisateur. 

Même si l’intérêt pour l’utilisateur peut paraitre accessoire, les données de patients, ou utilisateurs, procurent un avantage stratégique pour les entreprises développantes des solutions médicales. Tout d’abord ces paramètres permettent de sélectionner les patients afin de les inclure ou pas dans les essais cliniques, évitant ainsi les erreurs statistiques et contrôlant les profils de patients qui jusqu’alors étaient compliqués à vérifier. En plus de la sélection, ces données offre la chance de suivre le patient en quasi temps réel, et d’étendre la profondeur de l’étude clinique aux phénomènes non désirés (insomnie, fatigue, perte de poids), et dans le cas échéant intervenir pour le bien du sujet expérimental. 

Un cadre législatif en construction


Compte tenu de la sensibilité des informations de santé, celles-ci rentrent dans le cadre des lois « informatiques et libertés » (loi n° 78-17 du 6 janvier 1978, article 2). De plus, les données de santé à caractères personnel recueillis ou produites à l’occasion de préventions, diagnostique ou de soins, sont couvertes par l’article L111-8 du code de la santé publique. La récente application de la réglementation sur la protection des données personnelles (RGPD) oblige l’accord explicite de l’utilisateur quant au recueil et au stockage de ses données. Cet impératif de transparence est malheureusement sous-estimé, puisqu’il figure dans les conditions générales d’utilisations qui sont cochées de manière mécaniques par l’utilisateur. 

Cependant la CNIL en accord avec les autres pays européens a édité en septembre 2017 un règlement relatif à la gestion des données personnelles en intégrant le concept de « privacy by design ». Ce principe délègue l’anonymisation des données aux concepteurs des applications et dispositifs de santé connectés. En addition du respect du secret médical, le « privacy by design » exige le seul recueil des informations nécessaires, limitant une intrusion dans la vie privée de l’utilisateur, mais aussi délègue aux concepteurs d’application les principes liés à sécurité. Pour cela l’utilisation de la cryptographie et les méthodes de chiffrement hybride, permettant uniquement à l’utilisateur d’avoir le détail de ses données sont mis à profits. Ce concept est d’autant plus pertinent surtout si les données collectées sont destinées à la recherche clinique, et peuvent avoir une valeur économique. 

L'usage des données de santé dans un cadre illégal


Bien que près de 800.000 français soient équipés de montres ou bracelets connectés, il s’avère que ces dispositifs représentent une vrai menace pour la vie privée. Nous n’aborderons pas les cas du piratage de pacemaker obligeant une mise à jours de système pour 465.000 patients aux États-Unis. Dans notre exemple nous focaliserons  notre attention sur le cas ou un adversaire souhaite accéder a des informations sensibles détenus par un tiers, telles que des conditions médicales (une maladie, par exemple) type de traitement utilisé, ou d’autres informations personnelles considérées comme privées, les vulnérabilités des objets connectés de santé offre une porte d’entrée non négligeable aux forces hostiles. Dans notre exemple nous prendrons le cas d’un adversaire, qui peut être un proche, ou une personne malveillante souhaitant compromettre un système. Nous supposons que l'adversaire puisse intercepter le trafic réseau du smartphone d’une cible détenant des données vers la base de données cloud (pour le téléchargement des données), de la base de données cloud aux données appareil du propriétaire (pour le téléchargement de données), et entre le smartphone du propriétaire des données et le périphérique générateur d’informations. Cette triangulation du cycle de la donnée offre autant de portes d’entrée pour l’adversaire. Tel que l’explique l’ANSSI,  l’adversaire peut capturer, insérer, modifier et supprimer des informations entre ces trois entités. Ce type d’attaque peut se faire avec, ou sans accès physique au terminal du propriétaire ciblé, confirmant ainsi l’absence de frontières du cyberespace. La diffusion de malware et autres virus, est aujourd’hui à la portée d’organismes ou de puissances parfois modestes. 

Ce rapport, détaillant le cas de cyber espionnage à grande échelle de la part de la Direction Générale de la Sécurité Générale libanaise, appelée autrefois Premier bureau, nous indique d’avec des ressources modestes, il est tout à fait possible d’infecter et espionner des puissances beaucoup plus importantes. L’infection de terminaux mobiles sous système Android à permis l’accès et l’exfiltration de 81 gigaoctets de données vers le serveur adobeair.net, y compris les données relatives à la santé des cibles, l’analyse ne nous indique pas si d’autres serveurs ont étaient mises à contribution. Le manque de vigilance à l’égard des applications de santé peut aussi avoir des conséquences beaucoup plus importantes, tel que la location et l’activité de personnels, troupes, ou d’agents à l’étranger. Ce fut le cas pour des agents de la DGSE, dont l’utilisation d’une application de running à publiquement mis au jour leur position en Irak, ainsi qu’une station classée « Secret Défense » en Afrique. Les services français ne sont pas les seuls à avoir montrés ce type de défaillances, l’application Strava et les capteurs d’activités Fitbit, ont également divulgués publiquement la présence de personnels nord-américains dans des zones sensibles, telles que l’Irak et la Syrie. Si ce type de failles, ou manques de vigilance à pu toucher deux grandes puissances de renseignements, rompues et entrainées à la culture du secret et de la confidentialité, nous pouvons légitimement craindre des fuites d’informations plus importantes pour les utilisateurs moyens. 

Le fait que la totalité des applications de santé et de bien être soient développée pour les systèmes Android (Google) et iOS (Apple) pose un problème sur la réelle souveraineté de ces données, ainsi que le respect du secret médical. N’oublions pas qu’en 2014, Yahoo c’est vu menacer d’une amende de 250.000 dollars par jour, avec un doublement toute les semaines pour avoir refusé de coopérer avec l’agence de renseignement américaine, NSA. 

 

Ahmed Graouch