Ce matin, la cellule EnquĂȘte de Radio France publiait un article sur le chiffrement des donnĂ©es de santĂ© de Doctolib, explications
francetvinfo.fr/internet/secur par @geraldinehallot@twitter.activitypub.actor

@geraldinehallot@twitter.activitypub.actor Il existe 2 types de données chez Doctolib :
- les rendez-vous : qui a rendez-vous chez qui et quand, pour quel motif
- les documents : ordonnances etrésultats
Tout d'abord les documents : ils sont "chiffrésde bouten bout" d'aprÚs Doctolib (2/n)

Sauf que ce chiffrement utilise Tanker, qui n'est pas, stricto-sensus, du E2EE (acronyme anglais pour chiffrement de bout en bout).
La raison à cela est qu'avec du E2EE strict, si vous perdez votre PC ou téléphone, vous perdez l'accÚs à vos données. Dur à admettre

Follow

en E2EE strict vous avez une clé, l'autre partie (le/la docteur.e) a un clé aussi, et personne entre 2 ne peux accéder aux données. Avec Tanker, il est possible de "retrouver" l'accÚs à ses données, donc une clé maitre existe chez Tanker. (c'est plus compliqué que ça bien sûr)

Doctolib fait ce choix légitime: il n'est pas admissible que si on perd son PC, on perde ses documents. En passant par un tiers "de confiance" comme Tanker, on a les doc chez Doctolib, et les clés chez Tanker, soit.
Sauf que Doctolib a racheté Tanker ...
usine-digitale.fr/article/doct

Le concept de tiers de confiance perd donc une partie de son effectivité.
Enfin, sur la communication de Doctolib, ils pourraient dire "on utilise le meilleur chiffrement possible" et pas "on fait du E2EE" et ce serait ok. Mais non, la "comm'" fait le malin, et le sait.

Maintenant les Rendez-vous : Ces données importantes ne sont pas chiffrées de bout en bout : elles arrivent en clair sur le navigateur (format json) et partent donc en clair du serveur de chez Doctolib. [dans un tunnel HTTPS entre deux, donc pas écoutable en transit]

Tout d'abord, si Doctolib chiffrait de bout en bout ces informations, ils ne pourraient pas vous permettre de recevoir une alerte la veille par SMS, ou de modifier un rendez-vous existant. Pour des questions d'utilisabilité du service, ici on ne chiffre pas.

Sauf que cela a plusieurs conséquences :
- des personnes chez Doctolib (administrateur systÚme, support, DBA...) peuvent accéder à ces informations. Ce n'est pas forcément un problÚme, mais ces personnes et infrastructures doivent répondre à des normes de sécurité et confiance.

- Ces données arrivent en clair sur un serveur chez AWS (Amazon, US) elles sont stockées en base.
MĂȘme si ces donnĂ©es sont chiffrĂ©es dans la base, elles le seraient avec une clĂ© prĂ©sente sur d'autres serveurs AWS. AccĂ©der Ă  ces donnĂ©es pour AWS est donc trivial.

Et rappelons que AWS est une entreprise américaine soumise au Cloud Act fr.wikipedia.org/wiki/CLOUD_Ac
En clair : les États-Unis peuvent accĂ©der Ă  toute donnĂ©e chez AWS de maniĂšre confidentielle.
Il est donc possible pour l'état américain d'accéder à la liste des rendez-vous médicaux

Doctolib considÚre que les rendez-vous ne sont pas une donnée de santé, je considÚre que ces rendez-vous SONT une donnée de santé, et qu'ils n'ont donc rien à faire sur un serveur possédé par une entreprise américaine.

Avec @Snowden on a découvert que quand les USA pouvaient accéder à une donnée, il y accédaient.
Quand ils pouvaient l'exploiter, ils l'exploitait.
Cette absence de confiance crée déjà des problÚmes, mais elle devrait juste interdire tout stockage de données personnelle aux US.

@vincib

> je considÚre que ces rendez-vous SONT une donnée de santé

Ce n'est pas l'avis du Conseil d'État qu'@interhop a sollicitĂ© Ă  ce sujet.

interhop.org/2021/03/12/commun

Ton inquiÚtude est légitime, il faut soutenir @interhop, c'est ce que je fais.

@lutindiscret @interhop
NON ! c'est plus compliqué que cela :

- le Conseil d'Etat a répondu en référé, pas sur le fond, le référé n'approfondit pas un sujet, donc ne ferait pas jurisprudence
- le Conseil d'Etat parle des rendez-vous de vaccination dans le cadre de la crise du Covid-19, c'est trÚs précis et cela ne s'applique pas aux rendez-vous médicaux de maniÚre générale.

@vincib @lutindiscret
Juste pour dire que tout ceci avait été dit au conseil d'etat et que nous avions produit une analyse technique dont le résumé est ici : franceinter.fr/societe/doctoli
On a un peu l'impression que tout ceci est nouveau...

@interhop @lutindiscret
Ă  ma connaissance le nouveau c'est
- des journalistes d'enquĂȘte ont envie de se saisir du sujet ;)
- ils ont un doc ou doctolib dit que "le E2EE n'en est pas vraiment mais pour la comm', ça ira" ;)

@vincib Merci beaucoup pour toutes ces informations et prĂ©cisions ! 👍

@vincib Merci pour toutes ces infos et Ă©claircissements !
Question subsidiaire pour tous : comment faire sans ? Facilement bien sûr !
Je pense aux populations loin du numérique comme nos aßnés....

@vincib il me semble assez trivial d'avoir de bonnes infos de santé en regardant les RdV.

Si je prends mon cas : visite rĂ©guliĂšre (2× fois par an) chez mon gĂ©nĂ©raliste. Et visite rĂ©guliĂšre (tous les 2 ans) chez un pneumologue : On peut en dĂ©duire que j'ai une maladie chronique du cĂŽtĂ© du systĂšme respiratoire.

Maintenant, le problĂšme des agendas c'est que les standards liĂ©s (j'ai iCalendar & CalDAV en tĂȘte) sont restĂ©s dans l'Ăšre prĂ©-Snowden :(

@vincib quoi ? ils veulent dire que si je vais voir un proctologue c'est peut ĂȘtre pour un problĂšme Ă  l’Ɠil ?

@vincib faudrait peut ĂȘtre se mettre d'accord sur ce qui constitue une donnĂ©e de santĂ©. Et ce de façon factuel.

@vincib
Cette plateforme ne mérite pas ma confiance depuis le début et quand j'appelle pour prendre un rdv chez un médecin et que je reçois un texto de confirmation doctolib je les dénonce d'office à la CNIL ils n'ont pas à m'y inscrire de force.

@wallace @vincib Sauf qu’à ce niveau la plainte n’est pas recevable. Le choix du prestataire de gestion du cabinet mĂ©dical de ton mĂ©decin ne relĂšve pas du consentement au sens RGPD du terme.

@wallace @vincib À partir du moment oĂč ton praticien a valablement qualifiĂ© son prestataire comme Ă©tant conforme RGPD (ce que Doctolib est plutĂŽt a priori, techniquement ils ont le cul pas trop mal propre, communicativement parlant un peu moins), son choix de prestataire ne te revient pas.

@wallace @vincib La problĂ©matique se situe plutĂŽt au niveau de cette qualification RGPD par ton mĂ©decin : j’y crois plus que pas du tout.

@wallace @vincib Et niveau Doctolib, le seul truc cĂŽtĂ© RGPD qu’on peut reprocher, c’est l’usage de AWS dans un contexte SchremsII. Mais ils sont sur les infra AWS HDS, et y’en a pas des masses Ă  dispo de presta de ce type
 đŸ€·

@wallace @vincib Typiquement OVH est presque plus mesquin que Doctolib niveau communication Ă  ce niveau : c’est HDS mais avec la petite Ă©toile « juste pour le matos et le soft, pour le process c’est de votre responsabilitĂ© ». Donc pas HDS


@wallace @vincib AprĂšs il y aurait matiĂšre Ă  avoir une trĂšs grosse rĂ©flexion sur ce sujet. Le monde prĂ©-Doctolib Ă©tait vraiment l’enfer en terme de RGPD et de sĂ©curitĂ© informatique
 Donc du coup il est aussi difficile d’aller taper sur un truc qui fait trĂšs clairement beaucoup mieux que tous les solutions d’avant


@aeris
Donc du coup faut attaquer son mĂ©decin pour lui demander sa conformitĂ© rgpd. On est pas sorti de l'auberge. Donc si on refuse Doctolib on ne peut plus se soigner (mĂȘme les hĂŽpitaux y passent). Je vais aller de ce pas apprendre la mĂ©decine traditionnelle de tribus amĂ©rindiennes...
@vincib

@wallace @vincib Tu ne peux pas refuser Doctolib. C’est un choix de prestataire qui ne te regarde pas.

@aeris
Oui donc si je refuse que MES donnĂ©es soit chez doctolib je dois renoncer aux soins... Autant arrĂȘter de cotiser Ă  la sĂ©cu Ă  ce niveau lĂ  qui eux d'ailleurs mettent tout dans les gafam. Tain des fois j'ai vraiment envie de revenir aux annĂ©es 80 et 90 on avait pas toutes ces conneries et ça marchait mĂȘme mieux quand on voit l'Ă©tat de la santĂ© en France.
@vincib

@aeris
HDS y a plusieurs niveaux, AWS comme OVH et d'autres ce n'est que les niveaux 1 à 2 voir jusqu'à 4. Les niveaux 5 et 6 c'est soit en interne certifié hds soit par de l'infogerance certifié hds.
@vincib

@vincib
C'est quoi le nom technique du systĂšme de chiffrement ? (Ça m'intĂ©resse Ă  titre personnel)

Puisque du coup c'est du chiffrement partagé à 2 avec une protection, et je suis curieux de voir comment ça fonctionne >.>

@lhp22 Je dirais du "chiffrement de bout en bout avec tiers de confiance"
C'est la description la plus claire que j'ai pu trouver :
- c'est de bout en bout (doctolib n'a concrÚtement pas accÚs aux données)
- il y a un tiers de confiance (Tanker) qui n'a pas les docs mais peut régénérer une clé de device pour un des "bouts"

@lhp22 pour moi un tel systĂšme peut avoir son intĂ©rĂȘt, tant qu'on a un tiers qui est rĂ©Ă©llement indĂ©pendant des autres acteurs.
Or le rachat de Tanker par Doctolib mais cette indépendance à mal ...

Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

Mamot.fr est un serveur Mastodon francophone, géré par La Quadrature du Net.