Le 12 septembre 2021, l’Assistance Publique – Hôpitaux de Paris (AP-HP) a rencontré un incident de sécurité sur ses systèmes qui a permis à un attaquant d’obtenir les données personnelles de 1,4 million de patients[1].

Suite à cette brèche de données, la Préfecture de Police (de Paris) a édité un document électronique[2] pour permettre aux victimes de déposer plainte « sans avoir à [se] rendre dans un commissariat ou une gendarmerie ».

Ce document, partagé notamment par le site Cybermalveillance[3], un site public ayant pour mission « d’assister [les] victimes de cybermalveillance », demande aux victimes de saisir leur identité, nom, prénom, adresse, numéro de téléphone, adresse e-mail, mais aussi de saisir les éventuels problèmes rencontrés.

Une fois complété, deux possibilités sont offertes à la victime pour déposer sa plainte : par e-mail ou par courrier papier.

Si on peut saluer la volonté des autorités publiques d’assister les victimes et de combattre les cyberattaques, on ne peut accepter que cela se fasse par e-mail, en prenant le risque que les données personnelles des personnes soient dérobées. Les victimes ont déjà subi la perte de leurs données personnelles une première fois, suite à la défaillance de l’AP-HP, ne leur faisons pas prendre le risque de les perdre une seconde fois.

L’absence de sécurité des e-mails

Comme je l’ai déjà expliqué en détails[4], les e-mails ne sont pas un moyen de communication sécurisé, car les e-mails transitent sur Internet sans chiffrement, ce qui permet aux intermédiaires – les sociétés gérant le réseau, les fournisseurs de messagerie ou les gouvernements étrangers trop curieux – de lire leur contenu.

« Internet est un réseau sur lequel il est quasi impossible d’obtenir des garanties sur le trajet que vont emprunter les données que l’on y envoie. Il est donc tout à fait possible qu’un attaquant se trouve sur le trajet de données transitant entre deux correspondants. »

On ne peut imaginer un instant que la Préfecture de Police, sous l’autorité du Ministère de l’Intérieur, ignore cela. Leurs services ont pourtant décidé que le risque que les données des victimes soient dérobées n’était probablement pas suffisamment important pour le prendre en compte, contrairement à ce que la règlementation exige.

L’obligation d’assurer la confidentialité des données

La règlementation européenne, le RGPD[6], encadre strictement le traitement des données personnelles et demande notamment de garantir la confidentialité des données traitées :

« Les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées »

— RGPD, article 5-1-f, principes relatifs au traitement des données à caractère personnel

Ce règlement concerne toutes les personnes qui collectent ou traitent des données à caractère personnel, même si chaque pays de l’Union européenne possède certaines libertés pour encadrer les traitements des autorités publiques. En France, la loi Informatique et Libertés[7] détaille ces dérogations, mais aucune disposition ne permet, à mon sens, aux autorités de déroger à cette obligation de confidentialité.

L’inverse aurait été très étonnant, car la CNIL[8], autorité française en charge de surveiller l’application du RPGD, a déjà rappelé à de nombreuses reprises, notamment à la société SPARTOO[9] ou au rectorat de l’académie de Normandie[10], que l’envoi de données personnelles par e-mail était à proscrire :

« la [CNIL] relève que les données personnelles ont été transmises […] dans des conditions non sécurisées, à savoir par l’envoi d’un fichier Excel en pièce jointe non chiffrée d’un courriel. Ces modalités de transmission de données personnelles ne permettent pas de se prémunir contre leur interception par un tiers et, dès lors, présentent un risque d’atteinte à leur intégrité. A cet égard, la [CNIL] recommande, comme précaution élémentaire de sécurité, le chiffrement des données personnelles avant leur enregistrement sur un support physique, ou leur transmission par messagerie électronique »

La Préfecture alertée, sans succès

Le site Cybermalveillance, auteur d’un article faisant la promotion du document de la Préfecture de Police, a posté un message sur les réseaux pour relayer leur article. Je les ai alertés, sans résultat, même si, à vrai dire, je n’espérais pas un instant qu’un simple message sur les réseaux remettrait en cause les pratiques de la Préfecture de Police ou déclencherait une réaction de la CNIL :

« Vous ne devriez pas demander aux internautes d’envoyer leur plainte par e-mail, car les e-mails ne sont pas un moyen de communication sécurisé. Les plaintes contiennent les données à caractère personnel des personnes. Elles doivent être transmises avec un chiffrement. cc @CNIL »

Un e-mail plus détaillé a ensuite été envoyé au Délégué à la Protection des Données[11] du site Cybermalveillance pour lui demander de ne pas inciter les victimes à envoyer leur plainte par e-mail, mais le site s’est dédouané de toutes responsabilités en indiquant jouer le rôle de simple hébergeur.

Un autre e-mail a été envoyé au Délégué à la Protection des Données de la Préfecture de Police, encore une fois, sans résultat.

Ce qui est demandé à la Préfecture de Police

En l’absence de réaction des autorités, une plainte a donc été déposée auprès de la CNIL pour demander que :

  • la Préfecture de Police ne demande plus aux personnes victimes de l’AP-HP de transmettre leurs données à caractère personnel par courrier électronique ;
  • la Préfecture de Police mette en place un système alternatif permettant de garantir la confidentialité des données à caractère personnel, par exemple, une page Internet, transmise avec un chiffrement (HTTPS) ;
  • la Préfecture de Police informe les personnes ayant transmis leurs données à caractère personnel que leurs données ont pu être, ou ont été, interceptées et consultées par des tiers ;
  • le site Cybermalveillance n’incite plus les personnes à transmettre leurs données à caractère personnel par courrier électronique.

Note : Le contenu de la plainte est consultable ici.

Notes et références

  1. L’Assistance Publique - Hôpitaux de Paris (AP-HP) a rencontré un incident de sécurité le 12 septembre 2021 qui a eu pour conséquence le vol de données personnelles de patients. Voir « Assistance Publique - Hôpitaux de Paris (APHP) : vol de données personnelles et de santé des patients ».
  2. La Préfecture de Police a édité un document PDF pour permettre aux victimes de l’AP-HP de déposer plainte (source : cybermalveillance.gouv.fr).
  3. Le site Cybermalveillance (cybermalveillance.gouv.fr) est édité par les services de l’État et a pour missions « d’assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cybermalveillance, de les informer sur les menaces numériques et les moyens de s’en protéger ». Un article a été publié sur le site faisant la promotion du document édité par la Préfecture de Police (source: cybermalveillance.gouv.fr).
  4. La sécurité des e-mails, ou plutot l’absence de sécurité des e-mails, est expliquée en détail dans l’épisode du Podcast « La sécurité des e-mails et les mirages de ProtonMail ».
  5. ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information (ssi.gouv.fr).
  6. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  7. La loi Informatique et Libertés est le principal texte français encadrant le traitement de données à caractère personnel. Il détaille notamment les spécificités natinonales autorisées par le RGPD.
  8. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  9. La CNIL a sanctionné la société Spartoo pour avoir notamment demandé à ses clients d’envoyer par e-mail non chiffré une copie de leur carte d’identité (source : CNIL, SAN-2020-003, 28 juillet 2020, Spartoo). Voir « SPARTOO.COM sanctionné suite à une conservation trop importante de données personnelles, un manque d’informations et des faiblesses de sécurité ».
  10. La CNIL a rappelé à l’ordre le rectorat de l’académie de Normandie pour avoir notamment communiqué des données personnelles par e-mail, non chiffré (source : CNIL, SAN-2020-006, 3 septembre 2020, rectorat de l’académie de Normandie). Voir « Le rectorat de l’académie de Normandie rappelé à l’ordre pour avoir divulgué des données personnelles sur des lycéens ».
  11. Le Délégué à la Protection des Données est la personne en charge des questions liées aux données personnelles. Voir « Qu’est ce qu’un Délégué à la Protection des Données ? ».