Doctolib : des données de santé insuffisamment protégées

Les États-Unis de Donald Trump pourraient se servir allègrement

C’est une discussion sans fin mais qu’il convient d’avoir à nouveau au moment où Doctolib propose d’héberger nos ordonnances et autres résultats médicaux : nos données de santé sont-elles protégées correctement ? Ces données sensibles pourraient être accaparées par les États-Unis. Alors que 60 millions de Français utilisent Doctolib, que se passerait-il si la société était vendue à un groupe étranger ? L'élection de Trump modifie-t-elle la donne ?

Vous lisez un article réservé aux abonnés.

Il fut un temps, lointain, où les données de santé et plus généralement les données personnelles étaient un sujet de premier plan en France. En 1974, un article du Monde titré « SAFARI ou la chasse aux Français » met le feu aux poudres. Le Système automatisé pour les fichiers administratifs et répertoires des individus (SAFARI) inquiète. Ce projet visait, selon Le Monde, à relier par le numéro de sécurité sociale toutes les informations détenues dans « les 400 fichiers que possèdent les services de police […] le cadastre, le fichier... des impôts et, plus grave peut-être, celui du ministère du Travail ». La généralisation de cette identification dans toute l'administration avait pour but de faciliter l'interconnexion des fichiers. Déjà…

Le tollé provoqué par cet article déclenche la création de la CNIL. Le temps s’est écoulé, Internet est arrivé, les États comme les entreprises privées se sont littéralement gavés de nos données personnelles sans véritable contrôle. Le poids croissant de la société Doctolib dans la gestion des données de santé des Français devrait générer un débat bien plus soutenu et l’on peut s’étonner du silence des gouvernements successifs et des députés et sénateurs. Car, à bien y regarder, les garde-fous ne semblent pas suffisants.

Depuis des années, le collectif InterHop, ainsi que plusieurs associations et syndicats médicaux tentent de faire valoir que les prises de rendez-vous dans les hôpitaux, avec des médecins dans le privé, ou pour la vaccination contre le COVID, via Doctolib, constituent des données de santé dans la mesure où elles révèlent des informations sur l’état de santé des patients. Une consultation d’un cancérologue donne une information évidente sur le patient qui prend le rendez-vous. La multiplication des rendez-vous en donne une autre.

Comment sont traitées ces informations par Doctolib ? Pour la licorne qui fait la fierté de la frenchtech et des politiques, tout va pour le mieux dans le meilleur des mondes. Au point d'en faire des vidéos corporate un peu malaisantes.

L’argumentaire de la société est bien rodé. Selon elle, les données sont stockées chez Amazon Europe et son chiffrées grâce à mécanisme de chiffrement dont les clefs sont détenues par Atos, ce qui empêcherait Amazon d’avoir accès aux données. Qui plus est, les données sont chiffrées pendant le transport avec SSL (https) entre le serveur et le patient.

Sur le papier, c’est parfait. Dans la réalité, c’est un peu différent.

Les données sont stockées chez Amazon Europe. Ce point permet à Doctolib d’affirmer que le serveur est soumis aux lois européennes et non pas américaines. C’est important car cela éviterait la curiosité des services américains. Or deux textes permettent aux autorités américaines de se servir en données selon leurs besoins, si des serveurs sont détenus par des sociétés américaines, y compris si la machine est hébergée par une filiale de droit européen. Il s’agit du FISA et du Cloud Act. Et sur un plan technique, les administrateurs (root) d’Amazon, ont accès aux machines d’Amazon, qu’elles soient stockées aux États-Unis, en Europe ou ailleurs. Le chiffrement « au repos » du disque annoncé ne tient plus puisque les administrateurs ont accès aux clefs de déchiffrement.

Les clefs détenues par Atos permettent de chiffrer les données entre les machines Amazon et le serveur Web, ce que l’on appelle le « front-end », l’interface sur laquelle se connecte le patient. Lorsqu’il se connecte au site Doctolib.fr, le patient fait, sans le savoir, des requêtes vers les serveurs Amazon qui détiennent les informations le concernant. Petit souci, les clefs détenues par Atos sont « demandées » par les serveurs Amazon pour livrer les données au patient. Atos ne refusera pas de livrer la clef de déchiffrement à cet interlocuteur de confiance. On retombe donc sur notre administrateur d’une machine détenue par Amazon qui peut virtuellement accéder aux données.

Par ailleurs, il y a quelques années la société Tanker, rachetée depuis par Doctolib pour assurer des opérations de chiffrement, jugeait sévèrement la gestion des clefs par un tiers de confiance comme c’est le cas avec Atos :

Ces dernières années, nous avons assisté à la montée en puissance du programme “Bring Your Own Key” (BYOK), comme l’a annoncé le gestionnaire de clés externes (EKM) de Google Cloud lors du salon “Next London 2019”. Le principe de ces systèmes est d’externaliser la gestion des clés de cryptage, en utilisant soit une gestion des clés sur site (avec des boîtes noires transactionnelles BNT ou encore HSM), soit une gestion des clés tierce partie basée sur le cloud. Avec ces systèmes, les fournisseurs de cloud ne sont plus responsables de la gestion des clés de cryptage utilisées pour le cryptage au repos.

Les administrateurs de serveurs ont également accès à la solution de gestion des clés choisies et, dans la plupart des cas, ils peuvent accéder directement aux clés ou disposer d’un passe-partout. En outre, le chiffrement est toujours effectué sur les serveurs d’applications. Cette évolution ne change donc rien au problème et c’est principalement un moyen pour les fournisseurs de services dans les nuages d’avoir la conscience tranquille !

L'avenir très menacé d'Atos pose évidemment des questions pour Doctolib, comme pour bien d'autres entreprises.

Gare au proxy !

Passons au chiffrement des données en transit. Entre le front-end (le site Web Doctolib.fr) et l’ordinateur du patient. Pour tenir la charge quelle que soit la configuration (Doctolib a été choisie pour organiser les prises de rendez-vous pour la vaccination contre le Covid et cela a généré 3 millions de prises de rendez-vous en 5 heures) la licorne se repose sur deux jambes. La première est Amazon qui fournit un cloud extensible à volonté, et Cloudflare. Cette dernière entreprise vient se placer entre Doctolib et le client, comme un proxy. Et pour pouvoir protéger efficacement le site de Doctolib, par exemple contre les pointes de trafic, les dénis de service ou les attaques, elle va devoir déchiffrer le trafic chiffré par SSL (HTTPS). Cloudflare fait office de proxy et peut lire le trafic en clair.

Or dans ce trafic, Reflets a fait l’expérience à nouveau pour cet article, on trouve bon nombre d’informations personnelles comme le nom du patient, sa date de naissance, son adresse mail et son adresse physique, le nom du praticien, sa spécialité…

Toutes ces informations sont donc potentiellement à la disposition de Cloudflare, une société américaine. Ce n’est pas comme si la NSA n’avait aucun intérêt pour les données médicales…

Doctolib prend chaque jour plus de place dans la vie médicale des Français. L’entreprise a été choisie pour organiser la prise de rendez-vous pendant l’épidémie de Covid. Le site devient incontournable pour prendre des rendez-vous auprès des médecins. Au point même que des hôpitaux publics (AP-HP) demandent désormais aux patients de prendre leurs rendez-vous sur le site de cette entreprise privée.

En octobre dernier, la plateforme a annoncé le déploiement d’une IA qui assistera les médecins. Olivier Tesquet de Telerama qui avait enquêté sur Doctolib avait déjà noté en 2020 que l’entreprise adaptait ses actes en fonction de ses mensonges éventés. Si on lui reprochait de ne pas chiffrer les données (elle l’admettait dans un document interne), ce qu’elle disait pourtant faire dans ses communications officielles, elle annonçait un contrat avec Tanker.

Dans un article sur Doctolib, Basta fait remarquer que Stanislas Niox-Château , le PDG de Doctolib, avait déclaré que « Le chiffrement de bout en bout ne peut pas se fabriquer sur l’ensemble des cas d’usage et la sécurité à 100 % n’existe jamais, sur aucun système au monde ». Il tentait ainsi de défendre son entreprise après une enquête de France-Inter. Il contredisait ainsi « ce qui est annoncé sur le site web de sa société », soulignait Basta.

Reste la question que personne ne veut poser. Que deviendraient les données des utilisateurs de Doctolib, patients comme médecins, si la licorne était rachetée par une entreprise étrangère ? Atos qui assure une partie du chiffrement pour Doctolib s’est écroulée et sera probablement revendue à la découpe. Doctolib n’a jamais été rentable et table sur un bénéfice en 2025.

Enfin, l'élection de Donald Trump et ses actes après avoir accédé au pouvoir ont tétanisé les administrateurs techniques des infrastructures informatiques européennes. La plupart d'entre elles reposent sur des entreprises américaines, comme pour Doctolib. Côté américain, c'est absolument n'importe quoi. Des personnes non élues, qui ne sont pas employées par l'État ont pu accéder au coeur de l'infrastructure gouvernementale américaine. Des gamins portés par Elon Musk se sont fait remettre les clefs du château (ils sont devenus administrateurs) et peuvent désormais tout casser, voler les données personnelles de millions de personnes, et on en passe. La plupart des grandes entreprises de la tech ont fait publiquement allégeance à Donald Trump. Quelle résistance opposeront-ils si on leur demande de livrer les données européennes ? Aucune (selon notre expérience).