Des photos de poitrines, de parties intimes ou encore des devis et des factures détaillés des opérations chirurgicales subies. Fin janvier, les chercheurs en cybersécurité de VPN Mentor ont découvert à leur grande surprise que des fichiers de patients de 170 cliniques ou cabinets de chirurgie esthétique à travers le monde, dont 26 installés en France, étaient en libre accès sur un serveur mal sécurisé.

« La base de données compromise contenait 100 000 documents mis en ligne via le logiciel interne de NextMotion dont des fichiers photos et vidéos de patients avant et après les opérations », expliquent Noam Rotem et Ran Locar.

Pour des raisons d’assurance notamment, toutes les cliniques de chirurgie esthétique doivent fournir à leurs patients des comparatifs avant et après l’opération. NextMotion répond à ce besoin en numérisant ces données.

« Ce sont des documents très sensibles, notamment des visages et des parties du corps des patients traités. Cette fuite rend l’entreprise, ses clients et les patients vulnérables », expliquent-ils.

Exemple de photo avant et après une opération contre l’acné sévère /DR
Exemple de photo avant et après une opération contre l’acné sévère /DR  

Impossible toutefois de dire, avec certitude, si des personnes malveillantes ont eu, elles aussi, accès aux données multimédias de NextMotion. Ces dernières ont été accessibles plusieurs mois.

« Nous avons colmaté la brèche mercredi, changer les mots de passe et nous avons lancé un audit d’urgence pour éviter que cela ne se reproduise », a réagi Emmanuel Elard, le PDG de cette start-up. Tous les clients ont été prévenus par e-mail de ce « risque potentiel d’intrusion ».

La législation impose aux entreprises médicales de faire appel à des espaces de stockage en ligne d’Hébergeurs de Données de Santé (HDS), certifiés par le ministère de la Santé. La procédure de sécurisation des données a bien été respectée mais une erreur humaine a laissé la porte d’entrée entrouverte sur un serveur.

Les scientifiques israéliens, qui scannent régulièrement des adresses IP sur Internet à la quête de bases de données mal protégées, sont donc tombés facilement dessus. Ils ont pu piocher dans ces fichiers afin d’engranger des preuves matérielles et alerter l’entreprise concernée.

« La fuite potentielle ne concernait pas de dossiers médicaux nominatifs, qui étaient stockés sur un autre serveur, veut rassurer le Dr Elard. Les données visuelles étaient anonymisées : identifiants, dates de naissances, notes n’ont donc pas été exposées ».

Une clinique parisienne très prisée des stars

Fondée en 2015 par ce chirurgien esthétique, NextMotion revendique un porte-feuille de clients de 170 cliniques spécialisées dans 35 pays, dont la plus célèbre de France, la Clinique des Champs-Élysées où se pressent les stars depuis plus de 50 ans.

Parmi les documents récupérés par les chercheurs que nous avons pu consulter, il y a notamment une lettre de « consentement éclairé » avec l’en-tête de l’établissement de santé parisien. Mais a priori pas de photo ou de vidéos de patients connus.

« Nous ne stockons pas les documents des personnalités publiques en ligne mais en interne car la divulgation de leur secret médical aurait un vrai impact médiatique », insiste Tracy Cohen, la directrice de l’établissement.

« Notre prestataire nous a garanti qu’aucune image n’avait été téléchargée par d’autres personnes que ces chercheurs. Nous sommes donc sereins », assure-t-elle.

Déjà à l’origine de révélations sur une fuite de données d’une filiale d’Accor, les spécialistes de VPN Mentor se présentent comme pirates « éthiques », voulant éduquer sur la protection des données. Le message de prévention a visiblement encore du mal à passer.



Source link

You must be logged in to post a comment.