Le mauvais paramétrage d’un espace de stockage sur le cloud a exposé par deux fois les données de santé à caractère personnel de milliers de patients

En un mois, un espace de stockage d’une compagnie américaine d’assurance-maladie MedCall contenant 10 000 fichiers était par deux fois, disponible sur internet. Un visiteur pouvait télécharger les données, les consulter, les modifier et les supprimer.

Cet espace de stockage, hébergé par Amazon (NDLR : en France, Amazon n’a pas d’agrément pour stocker des données de santé à caractère personnel), était même recensé sur le site grayhatwarfare.com qui liste les espaces de stockage S3 publics hébergés par Amazon.

Il contenait des informations telles que : les noms, prénoms, adresses postales et de messagerie, coordonnées téléphoniques, dates de naissance, numéros de Sécurité Sociale et dans certains cas, des données sur la santé du patient.

MedCall indique que cette exposition est due à l’usage de l’espace de stockage S3 d’Amazon qui déroge à la politique de l’entreprise. En effet, son client a imposé cette solution au lieu d’utiliser le serveur FTP proposé par MedCall.

L’espace de stockage a depuis été rendu indisponible au public et MedCall a annoncé qu’elle veillera plus aux aspects sécurité à l’avenir.

Cet incident montre qu’il est nécessaire pour toute structure :

  • d’auditer régulièrement les documents et ressources accessibles depuis l’extérieur (grâce à Google, etc.) ;
  • de vérifier lors de la création d’un espace partagé, que seules les personnes ayant besoin d’en connaître puissent y accéder ;
  • de vérifier que les serveurs utilisés ne sont pas recensés sur des plateformes telles que grayhatwarfare, vncroulette … Ces plateformes facilitant le travail des pirates.