Au Royaume-Uni, une API fautive aurait pu laisser libre accès à des données de santé
Un trou de quatre mois
Medefer, une société travaillant régulièrement avec le système de santé anglais, aurait eu pendant plusieurs années une API mal configurée qui aurait pu permettre l’exfiltration de données médicales sensibles. Aucun vol d’informations ne serait à déplorer, mais le cas rappelle le danger entourant les API mal configurées ou « perdues », comme le signalaient plusieurs rapports de sécurité l’année dernière.
Le 11 mars à 12h00
5 min
Sécurité
Sécurité
Le NHS (National Health System) travaille en partenariats réguliers avec plusieurs entreprises du secteur privé. Parmi elles, Medefer, un géant anglais de la consultation externe, dont le produit doit permettre une accélération de la prise en charge. Dans le cadre de sa mission, il y a donc des échanges réguliers de données entre le NHS et les systèmes de Medefer.
Une porte grande ouverte
Hier, dans un article de la BBC, on apprenait que le NHS se penchait sur de sérieuses accusations : les données des patients auraient été vulnérables à des attaques à cause d’un bug chez Medefer. Plus précisément, une API (Application Programming Interface) était mal configurée, ce qui permettait en théorie de l’interroger pour obtenir des données médicales sensibles, sans vérifications particulières.
Ce qui est qualifié de « faille » a été découvert par un ingénieur, selon qui le problème existerait depuis au moins six ans. L’homme avait été embauché en octobre pour tester la sécurité des solutions logicielles de Medefer. La découverte a eu lieu en novembre et corrigée dans les jours qui ont suivi.
Un audit externe de sécurité a également commencé depuis fin février. Selon Medefer, rien ne prouve que le problème de configuration existe depuis aussi longtemps.
Une enquête est en cours pour définir plus précisément le périmètre du problème et de ses conséquences. Selon l’ingénieur (qui a tenu à rester anonyme), il est peu probable que des données aient été extraites, ce qui serait un immense coup de chance. Toutefois, il a invité à attendre le terme de l’enquête. Selon Medefer, les résultats préliminaires vont dans le même sens : aucune preuve de violation de données.
La société ajoute que le processus d’enquête est « extrêmement ouvert », que l’ICO (Information Commissioner’s Office) a été averti, tout comme la CQC (Care Quality Commission). C’est d’ailleurs cette dernière qui délivre les approbations permettant aux entreprises privées de nouer des échanges avec le NHS.
De novembre à février
Comme l’indique la BBC, la communauté des experts en cybersécurité n’est pas tendre avec Medefer. Beaucoup signalent ainsi que l’entreprise aurait beaucoup de chance si l’enquête et l’audit finissaient par ne révéler aucune fuite d’informations. Alan Woodward par exemple, de l’université de Surrey, rappelle ainsi que « la base de données peut être chiffrée et toutes les autres précautions prises, mais s'il existe un moyen de fausser l'autorisation de l'API, n'importe qui sachant comment faire peut y accéder ».
Pour le chercheur Scott Helme, il y a surtout un gros problème dans l’enchainement des évènements. Qu’aucune donnée n’ait été volée n’excuse pas le temps écoulé entre la découverte du problème en novembre et le déclenchement d’une enquête et d’un audit fin février. L’ingénieur qui avait trouvé le défaut de configuration avait pourtant recommandé de lancer immédiatement un audit.
Le NHS, de son côté, a rappelé que les organisations qui le composent ont la responsabilité de s’assurer que les prestataires privés « respectent leurs responsabilités légales et les normes nationales de sécurité des données ».
Plein feu sur les API
L’accident est d’autant plus visible que l’année 2024 a été marquée par un nombre croissant de rapports sur la recrudescence des attaques via les API. C’était le cas en janvier avec un épais document de Cloudflare, puis en août avec celui d’Akamai.
Les API sont de petits modules logiciels permettant d’interroger un produit pour obtenir des informations ou déclencher une action. Elles sont omniprésentes et notamment à la base du développement des applications sur les systèmes d’exploitation. Ces derniers exposent leurs capacités via des API, auxquelles le code des applications se réfèrent, pour des actions aussi variées que maximiser la taille d’une fenêtre ou faire appel à une solution de chiffrement gérée nativement.
Or, les rapports et chercheurs étaient formels : les entreprises ne font globalement pas assez attention à leurs API. Elles sont de plus en plus nombreuses et constituent autant de portes d’entrée, dont les accès doivent être sécurisés pour contrôler qui peut accéder aux ressources, selon le contexte.
Les rapports de Cloudflare et d'Akamai enjoignaient notamment les entreprises à dresser un inventaire complet et régulièrement mis à jour de toutes les API entourant leurs produits. Il fallait surtout référencer celles tournées vers l’extérieur, et donc accessibles par le réseau, internet ou autre. Ils alertaient également sur le danger des API fantômes : des interfaces créées il y a un certain temps et oubliées depuis.
Au Royaume-Uni, une API fautive aurait pu laisser libre accès à des données de santé
-
Une porte grande ouverte
-
De novembre à février
-
Plein feu sur les API
Commentaires (4)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousModifié le 11/03/2025 à 12h53
J'ai utilisé cette image dans bon nombre de dossiers d'architecture pour faire comprendre ce joyeux bordel.
Pour revenir au sujet, c'est hélas une problématique commune. Surtout si les API Manager (quand il y en a un !) sont trop permissifs et acceptent d'exposer en public des données sans un plan nécessitant un minimum d'authentification (une vraie, hein, pas une clé générique à deux balles). Je ne compte plus le nombre d'application qui n'ont pas compris que c'est une souscription par appli et non "je créé une sub et partage l'API key avec les autres"
Si je devais mettre une image plus proche de la situation : c'est une chambre forte avec une armée de soldat la gardant, mais avec la porte grande ouverte.
Le 11/03/2025 à 23h39
Le 12/03/2025 à 07h50
À part Ameli qui envoie des compte-rendu de facturation car Mon Espace Santé est édité par la même boite (CPAM).
Le connecteur de l'AP-HP était pour le COVID, il n'est fonctionnel depuis l'été 2024.
J'ignore comment marche le connecteur d'Abbott, mais l'application Freestyle ne demande pas d'informations permettant de se lier à mon espace santé. Et je n'ai rien vu de tel pour Libreview.
Bref, cette liste me semble plus déclaratoire qu'effective. Mais je suis preneur de retour d'expérience.
Le 12/03/2025 à 12h02
Les services qui s’inscrivent dans des finalités de prévention, de diagnostic, de soin ou de suivi social ou médico-social pourront proposer à leurs usagers d’échanger des données avec Mon espace santé. L’échange de données se fait dans les deux sens mais est toujours conditionné au consentement préalable du titulaire de Mon espace santé :
› Le service référencé peut écrire des données dans Mon espace santé ; l’usager peut alors partager ces
données avec son professionnel ou son établissement de santé
› Le service référencé peut lire des données dans Mon espace santé ; les données peuvent alors être
utilisées pour améliorer le service rendu à l’usager (personnalisation, simplification…)
Le périmètre de données qu’un service référencé peut échanger avec Mon espace santé est défini dans le cadre du processus de référencement et dépendra des finalités de traitement déclarées. Le périmètre des données est défini contractuellement dans le cadre de la convention de référencement signée entre l’éditeur et les responsables de Mon espace santé.