Le site Computer Sweden a lâché hier une petite bombe : 2,7 millions d’appels aux urgences médicales du pays – le 1177 Vårdguiden – étaient librement accessibles sur un serveur non protégé.
Aussi improbable que l’évènement puisse paraître, nos confrères ont pu entendre toute une sélection de ces appels, qui contiennent évidemment des informations très sensibles, sous forme de fichiers WAV.
En tout, 170 000 heures d’enregistrements étaient stockées sur un serveur ouvert auquel on pouvait se connecter sans la moindre identification. Le stockage était en clair (sans chiffrement), laissant exposées ces données critiques au premier venu. Il suffisait d’un navigateur web.
Maladies, états psychiques, détails anatomiques, historiques médicaux et personnels, alimentation et autres font partie des informations sensibles abordées. Outre le problème de la voix, déjà identifiante, une partie des fichiers comporte le numéro de téléphone de l’appelant.
Les questions les plus importantes n’ont toujours aucune réponse. On ne sait donc pas depuis combien de temps ces données étaient ainsi accessibles, qui est responsable de cette décision (ou de ce manque de décision) et, surtout, si des personnes malintentionnées ont pu les trouver.
Plusieurs signes pointeraient vers un problème avec le sous-traitant thaïlandais Medicall. Interrogé sur la brèche, son PDG Davide Nyblom nie cependant toute erreur de son côté.
L’enquête devra déterminer les responsabilités de chacun. L’ampleur de la brèche et l’absence totale de protection témoignent d’un rare degré d’incompétence. Et qui que soient les auteurs, ils devront faire face au RGPD.
