Imaginez un instant que des personnels soignants discutent de leurs patients, dossiers médicaux et pathologies dans un lieu public. Imaginez qu’ils y laissent traîner leurs documents, sans protection. C’est ce qui s’est produit, au sein d’une des équipes médicales d’un établissement privé, pendant 18 mois, jusqu’à ce que nous tirions la sonnette d’alarme. Ce n’est ni une cyberattaque ni un problème dans les services internes, mais un parfait exemple de Shadow IT.
La semaine dernière, nous évoquions le cas des pharmacies qui demandent à leurs clients d’envoyer leurs ordonnances sur des messageries… Gmail ou Hotmail. Une pratique qui soulève des questions quant à la confidentialité des données (qui plus est de santé) se retrouvant sur des serveurs américains et donc soumises au Cloud Act.
Le retour des Google Groupes mal configurés
Mais il y a pire, bien pire sur les Google Groupes… On en parlait il y a deux ans : une mauvaise configuration peut laisser l’ensemble des conversations d’un groupe accessibles à tout le monde. Nous avions, par exemple, trouvé des listes de parents d’élèves avec leurs coordonnées, une convocation à un conseil de discipline d’une personne arrivée alcoolisée et très en retard sur son lieu de travail, etc. Autant de données sensibles qui devraient rester confidentielles.
Aujourd’hui, les deux sujets, données de santé et Google Groupes, se rejoignent. Nous avons pu consulter un groupe de discussion mis en place par l’une des équipes d’une clinique du groupe de santé Clinifutur. Les conversations du groupe sont restées accessibles pendant 18 mois, alors qu’elles contenaient de nombreux échanges à caractère médical et des donnés de santé qui auraient dû rester confidentielles.
18 mois de conversations et de données médicales sur Internet
Aware2, lecteur de Next, nous a signalé ce groupe et nous avons dès le lendemain matin contacté la clinique, via leur formulaire de contact et avec un appel téléphonique dans la foulée. Face à la gravité de la situation, nous voulions être certain que notre message soit bien entendu afin que le nécessaire soit fait le plus vite possible.
Dans notre message, nous avons également donné des explications sur la manière de limiter rapidement les dégâts, en quelques clics via les paramètres de confidentialité du Groupe. En effet, une première action rapide à mettre en place devait être de limiter la visibilité du groupe (qui était alors visible par « tous les internautes »).
D’après nos constatations, l’accès à tous a été coupé le jour même à 12h12, soit trois heures après notre signalement. Nous nous sommes entretenus avec le service communication de la clinique dans l’après-midi. Il nous a remercié pour le signalement (remerciements que nous transmettons à Aware2) et nous a confirmé avoir fait le nécessaire pour couper les accès au plus vite.
La clinique nous indique qu’elle a contacté la CNIL et qu’elle va se conformer aux demandes et recommandations qui lui seront faites par la Commission. Elle affirme en outre que les patients mentionnés dans les publications de ce Google Groupe, dont les données personnelles ont donc été accessibles, seront contactés individuellement.
Pour fermer les vannes, il fallait trouver la personne dont le compte était à l’origine de la création du Google Groupe afin qu’il fasse les changements nécessaires. Avant d’être coupé, le Groupe comptait 775 conversations, la première remontait au 26 mai 2023 et la dernière le vendredi 13 au matin (6h58), soit 2 h avant notre signalement.
