Publicité en cours de chargement...

Publicité en cours de chargement...

Un espace de stockage Amazon mal configuré et des données de santé une nouvelle fois exposées

18 sept. 2018 - 11:30,
Tribune - Charles Blanc-Rolin
Alors qu’en France la première certification HDS vient d’être délivrée [1], dans de nombreux autres pays, comme les États-Unis par exemple, les établissements traitant des données de santé ne sont pas restreints dans le choix d’un prestataire d’hébergement de données de santé.

Dans un récent article, l’équipe de chercheurs de la société UpGuard relate sa dernière découverte, faite sur un bucketAmazon S3. Ce n’est pas la première fois qu’un mauvais paramétrage de ce type d’espace de stockage permet l’exposition publique de données personnelles, et notamment dans le secteur de la santé. Il y a presque un an déjà, l’entreprise spécialisée dans la surveillance de patients à domicile PHM avait ainsi exposé les données de 150 000 patients américains [2].

Le 24 août 2018, un membre de l’équipe de chercheurs de la société UpGuard a donc découvert un espace Cloud Amazon S3 nommé « Medcall » accessible par n’importe quel internaute malgré un niveau de permission très élevé.

access

Après quelques investigations, l’équipe a pu constater qu’il s’agissait d’un espace de stockage appartenant à la société de téléconsultation d’urgence pour les accidents du travail MedCall Advisors [3].

Cet espace contenait 7 Go de données, parmi lesquelles figuraient des formulaires de déclaration d’accidents du travail au format PDF concernant 181 entreprises américaines, les informations à caractère personnel permettant de reconstituer l’état civil complet, dont le numéro de sécurité sociale évidemment, de près de 3 000 personnes contenues dans 310 fichiers CSV, ainsi que 715 fichiers audio retraçant les enregistrements des conversations entre patients et praticiens ayant réalisé une télé-expertise.

audio_files

Les chercheurs ont notifié cet incident à la société MedCall le 30 août, après quoi, sans qu’ils aient obtenu de réponse, l’accès libre à cette mine d’informations a été fermé moins de 24 heures plus tard.

Cet incident démontre une nouvelle fois que l’hébergement de données de santé ne doit pas être pris à la légère et que l’administration système est un métier.


[1] http://esante.gouv.fr/services/liste-des-hebergeurs-certifies-hebergeur-de-donnees-de-sante-a-caractere-personnel

[2] /article/2672/les-dossiers-medicaux-de-150-000-patients-americains-en-acces-libre-sur-le-cloud-d-amazon.html

[3] http://medcalladvisors.com/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Stéphanie Rist fusionne recherche, innovation et numérique en une direction unique

Stéphanie Rist fusionne recherche, innovation et numérique en une direction unique

05 déc. 2025 - 17:49,

Actualité

- Rédaction, DSIH

Aux Assises hospitalo-universitaires, la ministre de la Santé Stéphanie Rist a annoncé une réorganisation d’ampleur du ministère, avec la création d’une direction unique dédiée à la recherche, à l’innovation et au numérique en santé. Ce nouveau pilotage, présenté comme un levier de l’« État efficace...

Illustration Paul Milon, de l'informatisation des mairies à la convergence hospitalière

Paul Milon, de l'informatisation des mairies à la convergence hospitalière

01 déc. 2025 - 18:48,

Actualité

- Pierre Derrouch, DSIH

Ce n’est pas à l’hôpital que Paul Milon fait ses premiers pas dans le numérique, mais en participant à partir de 1985 au mouvement d’informatisation les mairies. « C’était la première fois qu’on équipait ces collectivités », se souvient le DSI du GHT du Var. Une expérience qui incidemment le conduir...

Illustration Adopt AI 2025 : la santé passe à l’échelle, sous le regard du terrain hospitalier

Adopt AI 2025 : la santé passe à l’échelle, sous le regard du terrain hospitalier

01 déc. 2025 - 11:56,

Actualité

- Morgan Bourven, DSIH

L’Adopt AI International Summit 2025 s’est tenu les 25 et 26 novembre dans le cadre prestigieux du Grand Palais. Artefact y a accueilli près de 20 000 participants, 600 intervenants et 250 exposants, avec un moment fort : la venue du président Emmanuel Macron. Pensé comme un lieu où les idées se tra...

Illustration L’IA générative on-premise : retours d’expérience et stratégies concrètes

L’IA générative on-premise : retours d’expérience et stratégies concrètes

27 nov. 2025 - 14:42,

Actualité

- Morgan Bourven, DSIH

À l’occasion de la conférence « Transforming Hospitals Through On-Premise Generative AI » organisée dans le cadre de l’évènement Adopt AI, le 25 novembre à Paris, des experts ont partagé leurs visions sur l’intégration de l’intelligence artificielle générative au sein des établissements de santé. Po...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.