Tribune : Les décisions gouvernementales concernant la manière de gérer la pandémie suscitent la controverse dans le monde entier. Mais nul part ailleurs la réaction n’a été aussi vive qu’en France explique Sean O’Brien, Directeur de recherche chez ExpressVPN.
Les décisions gouvernementales concernant la manière de gérer la pandémie suscitent la controverse dans le monde entier. Mais nul part ailleurs la réaction n’a été aussi vive qu’en France. Depuis que le gouvernement a annoncé de nouvelles restrictions au début de l’été avec la mise en place du « pass sanitaire » obligatoire et servant de porte d’entrée à la vie civique, la France fait face à des manifestations qui durent depuis plusieurs semaines. Depuis plus d’un an, les solutions utilisables sur les smartphones sont au cœur de la stratégie gouvernementale, et bien que leur efficacité soit discutable, ces approches ont un réel impact sur la vie privée et la sécurité des citoyens.
Les applications anti COVID posent de nombreux soucis
Au début de la pandémie, les applications de traçage faisaient fureur. En Europe, les scandales entourant ces applications ont défrayé la chronique. En Norvège, l’application mise en place pour le traçage a été condamnée par Amnesty International comme étant parmi les plus dangereuses pour préserver la vie privée. Dans le même rapport, Amnesty a remarqué qu’il y avait un manque de transparence autour de l’application TousAntiCovid, avec la possibilité que les informations des utilisateurs soient désanomysées. La Suisse a connu des questionnements similaires avec l’application SwissCovid, après que des spécialistes de la sécurité aient démontré que le logiciel de localisation X-Mode, très proche des services de renseignement américain, était présent au sein du code de l’application. Au début de l’année, le logiciel X-Mode a été épinglé du fait que plusieurs applications étaient encore disponibles en téléchargement au sein de l’environnement Google, bien que le logiciel avait précédemment été interdit.
Le traçage effectué grâce aux smartphones a, en grande partie, été abandonné car l’approche a été prouvée inefficace. Cette désaffection s’accompagne de la découverte d’importants problèmes de confidentialité inhérents à l’utilisation systématique du Bluetooth. Les utilisateurs d’appareils fonctionnant notamment sous Android conservaient leurs identifiants uniques dans les logs du système. Dans un contexte médical où le dossier papier est la norme, le traçage des cas contacts peut être un outil puissant de santé publique. Cependant, les smartphones sont la cible d’une surveillance accrue de la part des acteurs des secteurs publics et privés.
Pour les annonceurs et les courtiers en données, une fonction clé des smartphones consiste en l’identification de la personne à qui appartient l’appareil. Les smartphones sont des cibles mobiles, donc il est relativement simple de retracer la localisation et l’historique des mouvements effectués par une personne. En corrélant les données d’autres smartphones et du matériel IoT comme les enceintes connectées, voire même des dispositifs des villes connectées, cela peut permettre de compiler des données sur une personne en particulier. Cela signifie donc que chaque application doit être mise en œuvre avec grand soin si elle est conçue pour réellement respecter la vie privée des utilisateurs.
Santé et numérique ne font pas (toujours) bon ménage
Parallèlement à ces inquiétudes croissantes concernant la confidentialité des applications, la téléconsultation a connu un véritable essor en France. Entre mars et novembre 2020, ce sont17 millions de consultations médicales à distance qui ont été réalisées. Avec les nombreuses restrictions sanitaires qui rythment le quotidien des Français depuis un an et demi, la téléconsultation présente de nombreux avantages. Elle permet d’avoir un contact direct avec un médecin sans avoir à attendre pendant de longs moments dans un salle d’attente, être moins potentiellement exposé au virus, en plus d’être très pratique pour les patients atteints de maladies chroniques.
Néanmoins, le partage des données et des documents durant les téléconsultations entre les médecins et les patients ouvre la porte à des menaces de cybersécurité significatives. Même avec des protocoles de sécurité stricts bien suivis par les professionnels de santé, les documents sensibles devraient être partagés avec un cryptage fort et partagés uniquement sur des systèmes robustes, régulièrement mis à jour pour corriger les dernières vulnérabilités de sécurité, disposer d’un stockage crypté et ne disposant pas de portes dérobées (communément appelé « backdoor » en anglais). Même dans ce cas précis, les attaques de logiciels malveillants tels que les ransomwares sont courantes dans les systèmes de santé numérique.
Aujourd’hui, le secteur de la santé est fortement touché par les cybermenaces, avec des ransomwares qui ne cessent de cibler les hôpitaux et établissements de santé. On rapporte qu’au moins une cyberattaque par semaine vise les hôpitaux en France. L’un des récents exemples les plus flagrants concerne l’hôpital d’Oloron, dans les Pyrénées-Atlantiques, qui a été touché par une cyberattaque le 8 mars 2021. La direction de l’hôpital et les équipes techniques ont depuis longtemps confirmé que tout devrait rentrer dans l’ordre au mois de septembre, soit six mois après l’attaque. Pendant cette période, les systèmes restent vulnérables, les données sensibles des patients sont à la merci des hackers, et la possibilité d’une autre attaque dévastatrice reste tout à fait plausible.
Les applications pour smartphones ajoutent encore de nouveaux défis, rendant très difficile le maintien d’un haut niveau de confidentialité. Récemment, il a été démontré que l’utilisation d’applications pour traiter la dépendance aux opiacés ne protégeait pas les utilisateurs de voir leurs données sensibles être accessibles par des tiers. Certaines applications peuvent accéder à des informations telles que l’identifiant publicitaire des smartphones des utilisateurs, leurs numéros de téléphone, leurs noms et prénoms, leurs adresses IP, voire même les numéros de série de leurs appareils.
Il est difficile de mesurer les parts de commodité et d’avantages pratiques permis par la téléconsultation lorsqu’il existe un risque d’espionnage intense et omniprésent. Les patients qui comptent sur les applications pour gérer leur bien-être ne devraient pas être contraints à un choix si difficile. Plutôt que de considérer les applications comme une solution prête à l’emploi pour résoudre tous les problèmes posés par la pandémie, nous devrions écouter les utilisateurs de ces applications et répondre à leurs besoins, tout en exigeant des développeurs d’applications une meilleure protection de la vie privée et une plus grande sécurité de ces outils.
Un problème de sécurité hautement minimisé
Malheureusement, les réponses gouvernementales en France tardent face à la réalité du terrain. Sur une page dédiée à la téléconsultation, le ministère de la Santé a indiqué que la mise en œuvre de tels outils numériques devait se faire selon un cadre juridique strict pour assurer la protection des données de santé, mais sans pour autant donner de réelle indication sur la manière d’implémenter ces outils. Au début de l’année, Emmanuel Macron a annoncé la mise en place d’un plan d’un milliard d’euros après les nombreuses cyberattaques qui ont visé des dizaines d’hôpitaux et de structures de santé sur tout le territoire. Cette annonce a reçu un accueil mitigé, avec de nombreuses critiques pointant l’absence de tout plan concret et certainement impossible à déployer rapidement. Alors que les lits de réanimation se remplissent en raison de la montée du variant Delta, et que la probabilité d’une quatrième vague augmente, les cyberattaques qui pourraient survenir auraient alors un effet dévastateur.
Le monde numérique est désormais indissociable de la vie quotidienne des citoyens français. Alors que des approches émergentes telles que la téléconsultation deviennent incontournables, les patients doivent se faire entendre et refuser que l’on ignore les risques liés aux soins de santé numériques. Étant donné le caractère ultra sensible des données, les développeurs d’applications et les administrateurs d’hôpitaux doivent jouer un rôle actif en donnant la priorité à la confidentialité et à la sécurité. Les protestations au sujet du « pass sanitaire »constituent un avertissement, une illustration de ce qui peut arriver lorsque la technologie est déployée dans la précipitation et crée un préjudice tangible pour de nombreux citoyens français. Toute application qui tente de résoudre un problème de santé peut avoir un impact catastrophique sur la vie d’une personne, que ce soit sous la forme de violations de données ou d’un traçage permanent des smartphones.
Source : ZDNet.com