Avis de tempête au pays de vos données

Le « pass sanitaire » vient d’être voté en France par les chambres basse et haute, afin de pouvoir participer, selon les autorités gouvernementales, à des événements regroupant plus de 1000 personnes. Dans le même temps, des fuites plus que conséquentes de documents d’identités, renseignements médicaux, informations bancaires, adresse e-mail, numéros de téléphone, identité numérique sont légion, quand est-il des données ? Seront-elles sécurisées ?

L’infection d’AXA par le ransomware « Avaddon » affole la toile et le reste du monde. Mis à part avoir touché un très gros poisson, cela démontre que les infrastructures doivent être renforcées, et les moyens mis en adéquation avec les risques encourus. D’autant qu’il s’agit de renseignements ultrasensibles. « Vous pouvez nous féliciter pour l’attaque réussie de l’entreprise, nous avons crypté AXA Asia dans les pays suivants : Thaïlande (Krungthai-AXA), Philippine AXA investment, Hongkong et Malaisie », se congratulent les opérateurs. Ils revendiquent posséder 3 To de données. Elles sont d’ordre médical (Antécédents, y compris des comptes rendus sur le VIH, l’hépatite, les MST et d’autres maladies), les réclamations des clients, les paiements aux clients, toutes les pièces d’identité des clients, comptes bancaires et tous les documents scannés des clients, mais pas seulement. L’Agefi stipule que le matériel réservé des hôpitaux et des médecins (enquêtes privées pour fraudes, accords réservés, remboursements refusés, contrats et rapports, cartes d’identité, etc.) y figure également.

Frappé deux fois de suite

Il y a plus de deux mois l’incendie chez OVH Cloud, veille de son entrée en bourse, le 10 mars 2021 rendait inaccessible différents sites. Dans un mail interne qu’Agefi avait pu consulter, Axa France indiquait avoir été « victime d’une extraction non autorisée de données concernant certains collaborateurs d’Axa en France. » Ainsi, début mai, ce sont 7500 actuels et anciens salariés, de 55 ans et plus ont vu leurs civilités complètes, leurs adresses, numéro de sécurité sociale… fuité à la suite du feu, fragilisant les serveurs dans lesquels un des fournisseurs d’AXA hébergeait ses données. La dernière société à subir une infection est Acer Finance, basée à Paris, est une société de gestion de portefeuille. Elle venait d’annoncer le 21 avril 2021 que « Laillet Bordier et Acer Finance fusionnent pour donner naissance à LB&AF. »

Quelques jours auparavant c’est la fédération des syndicats des métiers de la prestation intellectuelle du conseil, de l’Ingénierie et du numérique de plus de 3000 TPE PME, CINOV. Après la fuite datant de 2019, qui ressurgit en 2021, donne entrée à 20 millions de comptes de français sur le réseau « social » Facebook, et les données de santé de 500 000 personnes en France au mois de février 2021.

500 000 dossiers médicaux

De son côté, la CNIL (Commission nationale de l’informatique et des libertés) avait annoncé mercredi 24 février 2021 qu’elle avait lancé une enquête pour savoir si les sociétés (dont les données ont été volées) ont manqué à leurs obligations. En plus de prodiguer des consignes de sécurisation des données, le RGPD impose aux entreprises ayant subi une violation de leurs données de le signaler. Or la CNIL avait déclaré ne pas en avoir été avertie. Peut-être plus inquiétant, s’il en est, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) annonçait ce même mercredi 24 février 2021, qu’ils avaient identifié l’origine de cette fuite de données dès le mois de novembre 2020, et informé le ministère de la Santé, Olivier Véran. « Les recommandations nécessaires ont été données par l’ANSSI pour traiter l’incident ».

Le groupe Stelliant aurait été victime d’une offensive malveillante dans la nuit du 14 au 15 mai 2021, qui paralysait certaines de ses activités depuis ce week-end. Le spécialiste de l’expertise travaille actuellement au redémarrage de ses systèmes. De l’autre côté de la mer du Nord, l’Irlande a subi également dans la période, une infection. « Il y a une attaque ransomware importante sur les systèmes informatiques de HSE. Par précaution, nous avons arrêté tous nos systèmes informatiques afin de les protéger de cette attaque et de nous permettre d’évaluer pleinement la situation avec nos propres partenaires de sécurité », tweetait l’organisme. La maternité Rotunda de Dublin a prévenu que toutes les visites ambulatoires avaient été annulées, sauf pour les femmes enceintes d’au moins trente-six semaines, « en raison d’un grave problème informatique ». Le docteur Fergal Malone, responsable de cette maternité, a expliqué à RTE que l’attaque visait des ordinateurs stockant des dossiers médicaux. « Il n’y a pas de problème pour la sécurité des patients », a-t-il assuré et l’hôpital est passé en mode dégradé avec les dossiers papiers. « Mais évidemment, le débit sera beaucoup plus lent », a-t-il déclaré.

Le « Pass Sanitaire » est-il sécurisé ?

Clément Beaune, secrétaire d’État en charge des affaires européennes, indiquait au Sénat que la version française du « pass sanitaire » serait « soumise, avant toute mise en œuvre, à l’avis de la CNIL ». Elle possède un pouvoir tout relatif de recommandation souligne le journaliste Olivier Tesquet interviewé par Salomé Saqué, sur Blast. L’exemple des caméras intelligentes de Datakalab, pour mesurer le port du masque dans les transports en commun est criant de vérité. La CNIL émettait des recommandations, mais l’État est passé par un décret. Les nouvelles sanctions que la CNIL, hors mis le caractère pénal, peut prononcer sont :

• Une astreinte
• Le retrait d’une certification
• Le retrait d’agrément
• Des amendes administratives (de 4% du CA mondial à concurrence de 20 millions d’euros)

Dématérialisé, le dispositif pose évidemment la question de la protection des données, surtout qu’elles sont de l’ordre médical et personnel sensible. Selon le gouvernement, les données sont chiffrées et restent en local sur le terminal téléphonique des usagers. Ce dernier assure que l’application ne garderait rien en mémoire pour scanner les codes. Grâce à l’usage de ces QR code, les autorités ou effectifs habilités n’ont par ailleurs accès qu’aux informations qui leur sont utiles selon le gouvernement : « Quand vous tendrez votre pass, la seule chose qui apparaîtra à l’écran sera du vert ou du rouge. Personne ne saura si vous pouvez vous déplacer grâce à un vaccin ou un test PCR », déclarait Cédric O, Secrétaire d’État en charge du numérique, sur Europe 1.

Et, je veux aussi être clair : je ne rendrai pas la vaccination obligatoire.

Emmanuel Macron. 24 11 2020

La cocasserie du « pass sanitaire » vient de l’interview du maire de Nice, Christian Estrosi par Jean-Jacques Bourdin, sur BFM-TV le 30 mars 2021. « Je suis en faveur d’un pass sanitaire tout de suite […] ce qui permettrait de libérer un certain nombre d’activité au plan culturel, au plan commercial […] muni de ce pass sanitaire, et la condition naturellement serait que vous n’ayez à aucun moment refusé d’être vacciné […] », explique l’édile. « C’est presque de la vaccination obligatoire », questionne le journaliste. « Non, ça veut dire que vous acceptez de ne plus participer à un certain nombre d’activités ou vous pourriez être contaminant ». Autrement dit, vous avez le choix d’approuver vôtre vaccination obligatoire pour vous rendre sur la promenade des Anglais. Endroit même où la reconnaissance faciale était testée lors du carnaval.

Pas de retour en arrière

Un sondage demandé par BFM-TV posait la question suivante : « Vous personnellement, seriez-vous favorable ou opposé à la mise en place de ce “pass sanitaire” permettant aux personnes ayant un test négatif récent ou étant vaccinées d’accéder à certains lieux (stades, salles de concert, voyages, etc.) et interdisant à celles n’ayant pas de test négatif ou non vacciné d’y accéder ? » Près de deux tiers des personnes interrogées sont favorables (63 %), dont plus de 71 % de ces personnes ont plus de 50 ans. Concernant la sécurité, chiffrée ou non, il faut se rappeler qu’avant d’être ajoutés à « TousAntiCovid », les résultats de tests et autres certificats sont quoi qu’il arrive centralisé sur la plateforme sidep.gouv.fr et aussi protégée soit-elle, aucun système informatique n’est infaillible. Mélangez toutes ces données, les confidentielles, celles qui ont fuité, celle qui échappent à tout contrôle, épicez de la loi de sécurité globale, saupoudrez de reconnaissance faciale, vous obtenez un cocktail explosif. Sachant qu’« il n’y aura pas de retour en arrière … »