La société Biogroup est composée de 791 laboratoires en France et réalise des analyses médicales pour le compte de ses 75 000 patients quotidiens1. Une fois les analyses effectuées, Biogroup, qui se revendique « le premier groupe de biologie médicale en France », envoie les résultats des analyses par e-mail, en se souciant très peu de leur sécurité.

Depuis au moins 2019, les données de santé de millions de français pouvaient ainsi être interceptées, consultées et enregistrées.

La sécurité des données : au mieux très faible et très souvent inexistante

Les e-mails ne sont pas considérés comme des moyens de communication sécurisés, car ils transitent sur Internet entre différents intermédiaires pas nécessairement dignes de confiance avant d’arriver chez le destinataire. Il n’est donc pas recommandé d’envoyer des données confidentielles, des données personnelles ou des données de santé par e-mail, car rien ne garantit qu’ils ne seront pas interceptés par un attaquant et lus.

« Internet est un réseau sur lequel il est quasi impossible d’obtenir des garanties sur le trajet que vont emprunter les données que l’on y envoie. Il est donc tout à fait possible qu’un attaquant se trouve sur le trajet de données transitant entre deux correspondants. »

Biogroup a néanmoins décidé d’envoyer les résultats d’analyses médicales de ses patients par e-mail.

Pour tenter de sécuriser les données de santé de ses patients, Biogroup n’inclut pas directement les résultats de santé dans le corps des e-mails qu’il envoie, mais dans un document ajouté en pièce-jointe de l’e-mail et protégé par un mot de passe. Ce mot de passe n’est pas aléatoire, mais composé des trois premières lettres du nom de famille du patient, suivies de sa date de naissance. Ces explications sont d’ailleurs indiquées dans le corps même de l’e-mail pour permettre au patient d’ouvrir le document contenant ses résultats d’analyses :

« Un mot de passe vous sera demandé pour ouvrir le fichier PDF joint, celui-ci est composé des 3 premières lettres de votre nom (marital, en MAJUSCULES), suivi de votre date de naissance au format JJMMAAAA.
Exemple : Mr Jean DUPONT né le 15/01/1990 : DUP15011990 »

— Explications contenues dans les e-mails envoyés par Biogroup à ses patients

Il peut être acceptable de protéger un document par un mot de passe dans certains cas, encore faut-il ne pas donner ce mot de passe avec le document.

Biogroup ne communique certes pas directement le mot de passe, mais communiquer le format du mot de passe réduit déjà considérablement la sécurité, car si un attaquant interceptait les e-mails de Biogroup, il n’aurait pas à tester tous les mots de passe possibles et imaginables, mais seulement ceux respectant le format donné.

Si on considère que les patients ont moins de 100 ans, il y a exactement 667 147 000 mots de passe possibles3 dans le format imposé par Biogroup, c’est-à-dire composés d’une à trois lettres majuscules (A à Z) suivies d’une date de naissance au format JJMMAAAA. Ça peut paraître beaucoup, mais une machine grand public d’une puissance moyenne peut tester toutes ces possibilités en moins de 20 minutes. Avec des moyens financiers un peu plus importants, une personne ou une organisation pourrait même louer ou acquérir un équipement plus puissant et trouver ce mot de passe en quelques secondes.

Ce scénario est le meilleur des cas, car dans la majorité des e-mails qui ont pu être consultés, le nom du patient était présent dans l’objet de l’e-mail. Les e-mails envoyés par Biogroup ne contiennent donc pas seulement le format du mot de passe, mais aussi une partie du mot de passe lui-même.

Un attaquant qui souhaiterait accéder aux résultats d’analyse des patients aurait donc simplement à retrouver la date de naissance du patient, soit exactement 36 500 possibilités, si on considère encore une fois, que le patient à moins de 100 ans. La plupart des machines grand public, même un simple iPhone, a la capacité de tester l’ensemble ces 36 500 mots de passe en moins d’une seconde, c’est-à-dire que le mot de passe peut être trouvé instantanément.

La sécurité des données de santé des patients de Biogroup doit donc être considérée, dans le meilleur des cas, comme très faible et dans la majorité des cas, comme inexistante.

Ce semblant de sécurité rassure probablement les patients de Biogroup qui pensent que leurs données de santé sont correctement protégées, mais en réalité il est complètement inutile. Les données contenues dans les e-mails sont pourtant particulièrement sensibles : les résultats des analyses médicales du patient, le nom et prénom du patient, l’adresse du patient, la date de naissance du patient, le numéro de téléphone du patient, l’adresse e-mail du patient et le nom du médecin ayant prescrit l’analyse.

L’obligation de protéger les données

Lorsqu’une société comme Biogroup traite ou collecte des données à caractère personnel de ses patients, comme les données de santé, la réglementation, notamment l’article 32 du RGPD4, lui impose de prendre des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque ». Comment Biogroup peut-elle considérer un instant que les mesures prises sont appropriées pour protéger les données de santé des patients ?

Les e-mails ne doivent pas être utilisés pour transmettre des données personnelles. L’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, l’a déjà affirmé en indiquant que « toutes les données envoyées par e-mail sont vulnérables » et que les e-mails doivent être « systématiquement chiffrés »5. La CNIL l’a aussi déjà indiqué lorsqu’elle a condamné la société Spartoo pour avoir notamment demandé à ses clients de lui transmettre leur copie de carte d’identité par e-mail6.

Pour ce qui est des mots de passe utilisés par Biogroup pour protéger les données de santé des patients, la CNIL recommande habituellement que les mots de passe aient au minimum 12 caractères et soient composés de majuscules, minuscules, chiffres et de caractères spéciaux7. Les mots de passe de Biogroup ne sont de loin pas aussi robustes, car leur format et leur composition sont communiqués, sans compter qu’une partie du mot de passe est indiquée directement dans l’e-mail.

Il est difficile d’apporter la preuve qu’un organisme privé ou public ait pu profiter de la faiblesse de la sécurité du dispositif de Biogroup pour collecter des données personnelles sur les patients de Biogroup, mais il est tout aussi difficile d’affirmer le contraire. D’un point de vue de la réglementation, le fait que ces données ont réellement fuité ou ont réellement été obtenues par un tiers n’importe cependant pas, comme l’a déjà affirmé la CNIL : « l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement »8.

Ce qui est demandé à Biogroup

La société Biogroup a été informée de la fragilité de son système, mais plus d’un mois plus tard, Biogroup s’est simplement contentée de transmettre le courriel « aux services concernés pour analyse ».

Une plainte a donc été déposée auprès de la CNIL pour demander que :

  • Biogroup cesse de communiquer les données de santé de ses patients par e-mail, ou bien utilise des mots de passe robustes qui ne soient pas communiqués à l’intérieur de l’e-mail ;
  • Biogroup informe ses patients que leurs données à caractère personnel, dont leurs données de santé ont pu être interceptées, consultées et enregistrées par des tiers ;
  • Biogroup dédommage ses patients, car les données à caractère personnel, dont les données de santé, ont pu être interceptées, stockées et utilisées pour profiler les patients, avec toutes les conséquences que cette pratique engendre, ou pour leur proposer des services ou publicités ciblées.

Note : BIOGROUP propose aussi de consulter les résultats en utilisant un site Web, mais les identifiants nécessaires pour se connecter, c’est-à-dire le numéro de patient et le mot de passe, sont communiqués, en clair, dans le corps de l’e-mail.

Note 2 : Le contenu de la plainte est consultable ici.

Notes et références

  1. La société Biogroup est composée de 791 laboratoires en France et prend en charge 75 000 patients quotidiens (source : biogroup.fr).
  2. ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information.
  3. Il y a 667 147 000 mots de passe possibles pour un mot de passe composé de 1 à 3 lettres majuscules suivies d’une date de naissance. Il y a 36 500 dates de naissance possibles, si on considère que les patients ont moins de 100 ans et qu’il y a 365 jours dans une année. Il y a aussi 26 combinaisons possibles de 1 lettre (A, B, C, etc.), 676 combinaisons de 2 lettres (AA, AB, AC, etc.) et 17 576 combinaisons de 3 lettres (AAA, AAB, AAC, etc.), soit un total de 18 278 combinaisons. Pour chaque combinaison, les 36 500 dates de naissances sont possibles. Le total est obtenu en multipliant le nombre de combinaisons de lettres avec le nombre de dates de naissance.
  4. RGPD : Règlement Général de Protection des Données.
  5. L’ANSSI affirme que « toutes les données envoyées par e-mail sont vulnérables » et que les e-mails doivent être « systématiquement chiffrés » (source : guide de l’ANSSI : renforcer la sécurité de son système d’information en 42 mesures).
  6. La CNIL a sanctionné la société Spartoo pour avoir notamment demandé à ses clients d’envoyer par e-mail non chiffré une copie de leur carte d’identité (source : délibération n° SAN-2020-003 du 28 juillet 2020 concernant la société Spartoo).
  7. La CNIL recommande que les mots de passe aient au minimum 12 caractères et soient composés de majuscules, minuscules, chiffres et de caractères spéciaux (source : délibération n°2017-012 du 19 janvier 2017).
  8. La CNIL affirme que « l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement » (source : délibération n° SAN-2021-008 du 14 juin 2021 concernant la société Brico Privé).