octobre 14th, 2019

Disons le d’emblée, malgré le titre tapageur de nos confrères de Bleeping,  les données médicales de 400 millions de patients (essentiellement Européens) n’ont pas « fuité » mais seraient, sous certaines conditions, accessibles sur internet. Faille de sécurité, certes, mais intrusion, non.

A l’origine de cette révélation, une série de recherches et de « Google hacking » conduite par l’équipe de Greenbone, un spécialiste Allemand de la gestion/supervision de la sécurité des S.I. en entreprise. Le communiqué original est tout de même un peu anxiogène. Plus de 2300 systèmes d’archivage d’imageries médicales passés au crible, et 600 serveurs répartis dans 52 pays présentant soit des niveaux de protection insuffisants, soit des négligences en matière de colmatage de brèches connues.

Pourquoi cette attention particulière à l’imagerie médicale ? Parce qu’elle s’est « unifiée » autour d’un standard de fait, le format Dicom, dont l’en-tête peut contenir une foultitude d’informations à caractère personnel, relevant indiscutablement du secret médical, et qui n’est pas nécessairement chiffré. La liste des informations s’étend à l’identité du patient, à sa pathologie, au nom du médecin traitant et autres détails administratifs, le tout suivi par l’information graphique (thermographie, radiographie, RMN, tomographie etc.) devant a priori n’être vues que par le ou les praticiens chargés du dossier.

En Italie, ce seraient plus de 5,8 millions d’images qui seraient détectées, dont 1,15 million accessibles, 5,3 millions visibles en France dont 2,6M accessibles, 2,85 millions en Allemagne, « ma in Spagna son gia 53 000 » mais aucune accessible.

Ce pavé dans la mare n’est que le énième concernant le domaine médical qui, de pompes à insuline piratables en stimulateurs cardiaques télé-hackables, de ransomwares (rançongiciels) ciblés en usurpation d’images par les Spam King du monde entier, n’en finit pas de se noyer dans le bourbier de l’informatique « spécifique, taillée sur mesure »… donc propriétaire, hors de contrôle réel en matière de suivi du cycle de vie logiciel.
L’intégralité du rapport via le site Greenbone.

Selon Zhang Wei, directeur adjoint à la Shanghai Information Security Trade Association, il serait possible de pouvoir voler les empreintes digitales d’une personne posant en brandissant un « V » victorieux de l’index et du majeur. Il suffirait que l’index en question se trouve à moins de 1,5 mètre de l’appareil. La presse, aussi bien Chinoise que Singapourienne, crie au loup et parle de « révélation terrifiante ».

Seulement la chose paraît franchement improbable, relevant plus d’un épisode de Mission : impossible que d’une réalité scientifiquement prouvée. Mr Zhang Wei n’a d’ailleurs publié aucune communication à caractère scientifique sur le sujet, et ses propos, recueillis au fil d’une interview, n’ont jusqu’à présent jamais été recoupés et prouvés. Même équipé d’un capteur capable d’éliminer les tremblements, même en imaginant un sujet parfaitement immobile, même en arguant des qualités des appareils « multi-méga-pixels » des smartphones actuels, même en espérant que le firmware de l’appareil chargé de la mise au point automatique préfère cadrer une main plutôt qu’un visage, la reproduction d’une empreinte digitale à une telle distance est techniquement imaginable, pratiquement impossible.

Les origines géographiques de ce « scoop » ne sont pas un hasard. La Chine est probablement le pays qui utilise le plus au monde la biométrie et le traitement à la volée de milliards d’identités sans la moindre contrainte légale. C’est également la plus grande usine à smartphone qui soit, le plus important fournisseur de capteurs photographiques. Le mélange des deux est favorable à une explosion de psychose médiatique.

En un mot comme en 100, les traceurs GPS achetés sur Banggood, eBay, Amazon ou Ali Express sont tous à classer dans la catégorie « Passoire ». L’on savait déjà que les barbouzes de la DGSE étaient trahis par l’application Cloud Strava ou leurs cardiofréquencemètres Polar.
Mi septembre, c’était au tour d’Avast de nous effrayer : l’œil de Pékin peut surveiller le moindre mouvement des enfants tracés (et donc prétendument protégés » par les balises GPS I365Tech). Le blog est alarmiste en diable, à peine au-dessus du niveau des tabloïds Britanniques, mais la publication de l’équipe de recherche, rédigée par Martin Hron, donne un éclairage un peu plus technique et dépassionné. Un rapport que l’on pourrait résumer par la formule lapidaire « chiffrement ? quel chiffrement ? ». Toutes les données, y compris les échanges avec les serveurs Cloud, sont transmises en clair, les mots de passe sont inexistants (123456), les identifiants dérivés du numéro IMEI, et les authentifications totalement virtuelles, permettant à n’importe qui de surveiller la personne de son choix pour peu que l’on possède son numéro de cellulaire.

En juin dernier, une étude encore plus approfondie, conduite par MM Chaouki Kasmi (ex Anssi) et Pierre Barre, tous deux actuellement chez Xen1thLabs, Dark Matter, parvenait aux mêmes conclusions, avec encore un peu plus de détails sur les inconséquences des prestataire de services de géolocalisation. Mots de passe fantaisistes, authentification absente, transmission des données en clair… Pis encore, afin de réduire les temps de latence des applications Cloud, certains vendeurs de trackers n’hésitent pas à utiliser des machines situées dans les pays du Moyen Orient, toujours sans le moindre chiffrement bien entendu. Ces travaux ont été rendus public en juin dernier, à l’occasion du cycle de conférences Hack in Paris. Les transparents ainsi que la vidéo de l’intervention montrent les limites des tentatives de protection mises en œuvre en Europe. GPS un, GDPR zéro.