La société Biogroup est composée de 791 laboratoires en France et réalise des analyses médicales pour le compte de ses 75 000 patients quotidiens[1]. Une fois les analyses effectuées, Biogroup, qui se revendique « le premier groupe de biologie médicale en France », envoie les résultats des analyses par e-mail, en se souciant peu de leur sécurité.

Depuis au moins 2019, les données de santé de millions de Français pouvaient ainsi être interceptées et consultées sans beaucoup de difficultés.

La sécurité des données : au mieux très faible et très souvent inexistante

Les e-mails ne sont pas considérés comme un moyen de communication sécurisé, car ils transitent sur Internet entre différents intermédiaires pas nécessairement dignes de confiance avant d’arriver chez le destinataire. Il n’est donc pas recommandé d’envoyer des données confidentielles, des données personnelles ou des données de santé par e-mail, car rien ne garantit qu’ils ne seront pas interceptés et lu par un attaquant.

« Internet est un réseau sur lequel il est quasi impossible d’obtenir des garanties sur le trajet que vont emprunter les données que l’on y envoie. Il est donc tout à fait possible qu’un attaquant se trouve sur le trajet de données transitant entre deux correspondants. »

Biogroup a néanmoins décidé d’envoyer les résultats d’analyses médicales de ses patients par e-mail.

Pour tenter de protéger les données de santé de ses patients, Biogroup n’inclut pas directement les résultats de santé dans le corps des e-mails, mais dans un document, protégé par un mot de passe, ajouté en pièce-jointe de l’e-mail. Le mot de passe n’est cependant pas aléatoire, mais composé des trois premières lettres du nom de famille du patient, suivies de sa date de naissance. Ces explications sont d’ailleurs indiquées dans le corps même de l’e-mail pour permettre au patient d’ouvrir le document contenant ses résultats d’analyses :

« Un mot de passe vous sera demandé pour ouvrir le fichier PDF joint, celui-ci est composé des 3 premières lettres de votre nom (marital, en MAJUSCULES), suivi de votre date de naissance au format JJMMAAAA.
Exemple : Mr Jean DUPONT né le 15/01/1990 : DUP15011990 »

— Biogroup, Explications contenues dans les e-mails envoyés à ses patients

Il peut être acceptable de protéger un document par un mot de passe dans certains cas, encore faut-il ne pas donner ce mot de passe avec le document. Biogroup ne communique certes pas directement le mot de passe, mais communiquer le format du mot de passe réduit déjà considérablement la sécurité, car si un attaquant interceptait les e-mails de Biogroup, il n’aurait pas à tester tous les mots de passe possibles et imaginables, mais seulement ceux respectant le format donné.

Si on considère que les patients ont moins de 100 ans, il y a 667 millions de mots de passe possibles[3] dans le format imposé par Biogroup, c’est-à-dire composés d’une à trois lettres majuscules (A à Z) suivies d’une date de naissance au format « JJMMAAAA ». Ça peut paraître beaucoup, mais une machine grand public d’une puissance moyenne peut tester toutes ces possibilités en moins de 20 minutes. Avec des moyens financiers un peu plus importants, une personne ou une organisation pourrait même louer ou acquérir un équipement plus puissant et trouver ce mot de passe en quelques secondes.

Ce scénario est le meilleur des cas, car dans la plupart des e-mails qui ont pu être consultés, le nom du patient était présent dans l’objet de l’e-mail. Les e-mails envoyés par Biogroup ne contiennent donc pas seulement le format du mot de passe, mais aussi une partie du mot de passe lui-même.

Un attaquant qui souhaiterait accéder aux résultats d’analyse des patients aurait donc simplement à retrouver la date de naissance du patient, soit exactement 36 500 possibilités, si on considère encore une fois, que le patient à moins de 100 ans. La plupart des machines grand public, même un simple iPhone, a la capacité de tester l’ensemble ces 36 500 mots de passe en moins d’une seconde, c’est-à-dire que le mot de passe peut être trouvé instantanément.

La sécurité des données de santé des patients de Biogroup doit donc être considérée, dans le meilleur des cas, comme très faible et dans la majorité des cas, comme inexistante.

Ce semblant de sécurité rassure probablement les patients de Biogroup qui pensent que leurs données de santé sont correctement protégées, mais en réalité il n’est pas bien utile. Les données contenues dans les e-mails sont pourtant particulièrement sensibles : les résultats des analyses médicales du patient, le nom et prénom du patient, l’adresse du patient, la date de naissance du patient, le numéro de téléphone du patient, l’adresse e-mail du patient et le nom du médecin ayant prescrit l’analyse.

L’obligation de protéger les données

Lorsqu’une société comme Biogroup traite ou collecte des données à caractère personnel de ses patients, comme les données de santé, la réglementation, notamment le RGPD[4], lui demande de prendre de « garantir une sécurité appropriée des données »[5] et de prendre des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque »[6]. Est-ce que Biogroup considère que les mesures prises sont appropriées pour protéger les données de santé des patients ?

Les e-mails ne doivent pas être utilisés pour transmettre des données personnelles. L’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, l’a déjà affirmé en indiquant que « toutes les données envoyées par e-mail sont vulnérables » et que les e-mails doivent être « systématiquement chiffrés »[7]. La CNIL l’a aussi déjà rappelé à plusieurs reprises, notamment au rectorat de l’Académie de Normandie[8], car les données des lycéens avaient été envoyées par e-mail, mais aussi la société Spartoo, car l’entreprise demandait à ses clients de lui transmettre une copie de leur carte d’identité par e-mail[9].

Pour ce qui est des mots de passe utilisés par Biogroup pour protéger les données de santé des patients, la CNIL recommande habituellement que les mots de passe aient au minimum 12 caractères et soient composés de majuscules, minuscules, chiffres et de caractères spéciaux[10]. Les mots de passe de Biogroup ne sont de loin pas aussi robustes, car leur format et leur composition sont communiqués, sans compter qu’une partie du mot de passe est indiquée directement dans l’e-mail.

Il est difficile d’apporter la preuve qu’un organisme privé ou public ait pu profiter de la faiblesse de la sécurité du dispositif de Biogroup pour collecter des données personnelles sur les patients de Biogroup, mais il est tout aussi difficile de prouver le contraire. D’un point de vue de la réglementation, le fait que ces données ont réellement fuité ou ont réellement été obtenues par un tiers n’importe cependant pas, comme l’a déjà affirmé la CNIL : « l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement »[11].

Ce qui est demandé à Biogroup

La société Biogroup a été informée de la fragilité de son système, mais Biogroup n’a pas souhaité modifier son système. Un signalement a donc été déposé auprès de la CNIL pour demander que :

  • Biogroup cesse de communiquer les données de santé de ses patients par e-mail, ou bien utilise des mots de passe robustes qui ne soient pas communiqués à l’intérieur de l’e-mail ;
  • Biogroup informe ses patients que leurs données à caractère personnel, dont leurs données de santé ont pu être interceptées, consultées et enregistrées par des tiers.

Biogroup n’est pas un cas isolé

Les laboratoires Biogroup ne sont malheureusement pas un cas isolé. Beaucoup d’autres laboratoires français, dont les trois principaux laboratoires de mon département, recourent aux mêmes pratiques, car ils utilisent tous le même logiciel pour envoyer les résultats, un logiciel appartenant à la société Dedalus. Ce logiciel ne semble pas permettre aux laboratoires de proposer une meilleure sécurité, ce qui est gênant étant donné qu’il est vraisemblablement implémenté dans des milliers de labatoires français.

Il faut toutefois noter que certains labos, soucieux de la sécurité des données de leurs patients, ont réussi à obtenir la modification du format du mot de passe, même si le résultat n’est pas nécessairement meilleur. Un gros laboratoire concurrent à Biogroup utilisait, par exemple, un mot de passe qui s’avérait être le nom de la pièce-jointe...

Quelles alternatives possibles ?

Envoyer les résultats des analyses du patient par e-mail est bien pratique, car cela évite aux patient de devoir retourner physiquement au laboratoire pour récupérer les résultats. Une meilleure sécurité n’est toutefois pas nécessairement synonyme de difficultés pour le patient. Des solutions alternatives, tout aussi simples, peuvent être imaginées.

On pourrait, par exemple, imaginer :

  • que les laboratoires, au moment de la prise en charge du patient, communique une carte aux patients contenant un mot de passe robuste et aléatoire ; et/ou
  • qu’un code d’accès soit envoyé par un autre moyen de communication, par SMS par exemple.

Trois mois après, pas de réelle amélioration

Trois mois après la publication de cet article, Biogroup n’a pas modifié ses pratiques. Les résultats sont toujours envoyés par e-mail et le format des mots de passe est toujours le même. On peut cependant noter une légère évolution. Une carte de visite est désormais communiquée au patient[12].

Votre mot de pase : XXXX1986
Carte transmise au patient contenant le mot de passe

Malheureusement, l’autocollant placé sur la carte contient toujours le même mot de passe, c’est-à-dire les trois premières lettres du nom de famille du patient puis sa date de naissance, et l’e-mail envoyé au patient détaille toujours le format de ce mot de passe.

Note : Biogroup propose aussi de consulter les résultats en utilisant un site Web, mais les identifiants nécessaires pour se connecter, c’est-à-dire le numéro de patient et le mot de passe, sont communiqués, en clair, dans le corps de l’e-mail.

MAJ du 07/12/2021 : ajout du paragraphe sur la situation trois mois après.
MAJ du 19/03/2022 : ajout du nom du logiciel utilisé et des alternatives.

Notes et références

  1. La société Biogroup est composée de 791 laboratoires en France et prend en charge 75 000 patients quotidiens (source : Biogroup).
  2. ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information.
  3. Il y a 667 147 000 mots de passe possibles pour un mot de passe composé de 1 à 3 lettres majuscules suivies d’une date de naissance. Il y a 36 500 dates de naissance possibles, si on considère que les patients ont moins de 100 ans et qu’il y a 365 jours dans une année. Il y a aussi 26 combinaisons possibles de 1 lettre (A, B, C, etc.), 676 combinaisons de 2 lettres (AA, AB, AC, etc.) et 17 576 combinaisons de 3 lettres (AAA, AAB, AAC, etc.), soit un total de 18 278 combinaisons. Pour chaque combinaison, les 36 500 dates de naissances sont possibles. Le total est obtenu en multipliant le nombre de combinaisons de lettres avec le nombre de dates de naissance.
  4. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  5. Le RGPD indique que « les données à caractère personnel doivent être […] traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite […] à l’aide de mesures techniques ou organisationnelles appropriées » (source : RGPD, article 5-1-f).
  6. Le RGPD demande « de mett[re] en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-1).
  7. L’ANSSI affirme que « toutes les données envoyées par e-mail sont vulnérables » et que les e-mails doivent être « systématiquement chiffrés » (source : ANSSI, renforcer la sécurité de son système d’information en 42 mesures).
  8. La CNIL a rappelé à l’ordre le rectorat de l’académie de Normandie, car les données personnelles des lycéens étaient notamment envoyées par e-mail (source : CNIL, SAN-2020-006, 3 septembre 2020, rectorat de l’académie de Normandie). Voir « Le rectorat de l’académie de Normandie rappelé à l’ordre pour avoir divulgué des données personnelles sur des lycéens ».
  9. La CNIL a sanctionné la société Spartoo, car il était demandé aux clients d’envoyer par e-mail une copie de leur carte d’identité (source : CNIL, SAN-2020-003, 28 juillet 2020, Spartoo). Voir « SPARTOO sanctionné suite à une conservation trop importante de données personnelles, un manque d’informations et des faiblesses de sécurité ».
  10. La CNIL recommande que les mots de passe aient au minimum 12 caractères et soient composés de majuscules, minuscules, chiffres et de caractères spéciaux (source : CNIL, délibération n° 2017-012, 19 janvier 2017, recommandation relative aux mots de passe).
  11. La CNIL affirme que « l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement » (source : CNIL, SAN-2021-008, 14 juin 2021, Brico Privé).
  12. Une carte avec le mot de passe est transmise au patient après une analyse, mais rien n’indique, à ce stade, que cette procédure est réalisée par tous les laboratoires du groupes, pour tous les patients.