Est-il possible qu’une faille de sécurité majeure dans un portail national de vaccination contre la COVID-19 en Irlande soit restée inconnue du public jusqu’à très récemment? La réponse à cette question réside dans la découverte faite par Aaron Costello, un chercheur en sécurité, concernant le portail de vaccination géré par le Service de santé exécutif irlandais (HSE).
En décembre 2021, soit un an après le début de la vaccination de masse contre la COVID-19 en Irlande, Costello a mis au jour cette vulnérabilité. Mais pourquoi cette information est-elle restée sous silence si longtemps? Costello, fort d’une expertise approfondie dans la sécurisation des systèmes Salesforce, et travaillant désormais en tant qu’ingénieur principal en sécurité chez AppOmni, avait lui-même révélé cette faille dans un article de blog partagé avec TechCrunch.
Une faille permettait l’accès aux données de vaccination de plus d’un million de résidents irlandais.
Cette vulnérabilité du portail de santé construit sur Salesforce permettait à tout utilisateur enregistré d’accéder aux informations de santé d’un autre utilisateur inscrit. Quelles sont dès lors les implications de cette faille de sécurité sur la confidentialité des données des citoyens? Costello a découvert que les informations de vaccination de plus d’un million d’Irlandais étaient accessibles, incluant noms complets, détails de vaccination (y compris les raisons de l’administration ou les refus du vaccin), et le type de vaccin, parmi d’autres données.
Heureusement, l’exploitation de cette faille n’était pas évidente pour les utilisateurs réguliers utilisant le portail selon son intention première. Mais ce fait n’atténue-t-il pas la gravité de la situation? Selon les déclarations du HSE à TechCrunch, à part Costello, personne n’aurait découvert le bug, et l’organisation maintenait des journaux d’accès détaillés prouvant l’absence d’accès ou de consultation non autorisée de ces données.
Le porte-parole du HSE, Elizabeth Fraser, a déclaré que la configuration incorrecte a été corrigée dès que l’alerte a été donnée. Mais cette intervention rapide suffit-elle pour garantir la sécurité des données personnelles à l’avenir? Avec l’Irlande soumise aux strictes lois de protection des données du RGPD de l’Union Européenne, comment de telles vulnérabilités peuvent-elles encore survenir?
Il a fallu plus de deux ans depuis le premier signalement de la faille par Costello pour que le détail de la vulnérabilité soit révélé publiquement. Ce délai et l’échange laborieux entre différents départements gouvernementaux, réticents à prendre la responsabilité de la divulgation publique, mettent en lumière une problématique plus large. Les organisations, même non obligées par le RGPD de révéler les vulnérabilités n’ayant pas entraîné de vol massif ou d’accès à des données sensibles, ne devraient-elles pas opter pour plus de transparence pour le renforcement de la sécurité collective?
La prévention de futures expositions similaires ne bénéficierait-elle pas de la mise en commun des connaissances, surtout de la part de ceux ayant déjà vécu des incidents de sécurité? Partager ces informations pourrait empêcher la répétition des erreurs passées et renforcer la sécurité d’organisations qui, autrement, resteraient dans l’ignorance. Alors, ne devrions-nous pas redéfinir nos attentes en matière de divulgation des vulnérabilités pour favoriser une culture de la sécurité plus ouverte et résiliente?
Source : Techcrunch
