MUSIQUE gratuite mais indiscrète : divulgation accidentelle d’information personnelle sur Internet. De grandes quantités de renseignements confidentiels provenant d’administrations ou d’organismes privés américains – notamment des listes de patients porteurs du VIH et des documents du FBI – ont été rendus publics involontairement ces dernières années, à cause de l’utilisation par des employés d’ordinateurs qui renfermaient ces informations, pour se connecter à des réseaux de partage de fichiers.
Ce nouveau type de fuite révélé dans la presse nord américaine a fait l’objet d’un rapport auprès d’un comité du congrès des États-Unis l’été dernier. Ces mêmes bavures ont conduit des chercheurs canadiens à tenter d’évaluer la fréquence à laquelle des informations personnelles de nature médicale ou financière circulent sur les circuits d’échange incriminés*.
Les réseaux de partage de fichiers en pair à pair fonctionnent grâce à des logiciels qui permettent une communication directe entre les ordinateurs connectés ainsi que des échanges bidirectionnels de données entre ces ordinateurs sans le passage par un système serveur. Ces réseaux sont le plus souvent utilisés pour des échanges gratuits entre leurs utilisateurs, de musique, de vidéos et de pornographie.
Dossiers confidentiels.
Les chercheurs canadiens, sous la direction de Khaled El Emam, de la faculté de médecine de l’université d’Ottawa, dans l’Ontario, ont utilisé un logiciel appelé ShareAza, qu’ils ont modifié, pour se connecter à des réseaux connus sous les noms de Gnutella, eDonkey et Fasttrack. Ils ont conduit leur expérience pendant quatre mois, à l’issue desquels ils ont analysé les fichiers recueillis à partir d’un peu moins de 2 000 adresses IP américaines et canadiennes qui représentent autant d’ordinateurs connectés à Internet.
Les chercheurs ont constaté que 0,5 % des adresses canadiennes et 0,4 % des adresses américaines fournissaient des indications personnelles liées à la santé tandis que 2 % des ordinateurs canadiens et 5 % des ordinateurs situés aux États-Unis leur avaient donné accès à des dossiers confidentiels de nature financière. Ainsi ont-ils découvert, par exemple, un formulaire d’autorisation médicale contenant le nom de famille d’une adolescente, ses numéros de téléphone, sa date de naissance, son numéro de sécurité sociale, son histoire médicale et les médicaments qui lui avaient été prescrits. Un autre formulaire indiquait le numéro de la carte d’assurance-maladie d’un individu ainsi que sa date de naissance, son numéro de téléphone et des détails sur ses autres assurances… Plusieurs documents financiers, quant à eux, renfermaient des informations bancaires, y compris des numéros de compte, des codes secrets, des mots de passe et des numéros de cartes de crédit.
Parce qu’il n’est pas dans l’intérêt des personnes qui les ont dévoilés de rendre public des renseignements privés qui peuvent être utilisés d’une façon qui leur est préjudiciable, les chercheurs canadiens estiment que ces données ont été divulguées sans que leurs propriétaires en soient conscients, par manque de compréhension de la complexité de la technologie en jeu. « La plupart des usagers ne savent pas.., ils ne réalisent pas ce qu’ils partagent », indique Khaled El Emam au « Quotidien ». Et il ajoute que, même après avoir fait l’objet d’une fraude, il est possible que les victimes « puissent ne pas en reconnaître l’origine ».
L’équipe canadienne précise que la divulgation involontaire de documents peut avoir des causes multiples. Elle peut être due à une mauvaise configuration des programmes utilisés, à une mauvaise compréhension de leur fonctionnement, à l’ignorance du contenu des fichiers partagés ou à la méconnaissance des risques associés à ce genre d’activité. Et elle recommande de ne pas installer de programmes de partage de fichiers en pair à pair sur les ordinateurs professionnels ou personnels contenant des informations privées. En effet, les investigateurs de l’Ontario ont par ailleurs confirmé que des individus connectés à ces réseaux cherchaient activement et avec succès les dossiers mis en circulation par mégarde dans le système, grâce à l’utilisation de termes de recherche simples tels que les mots « médical », « impôt » ou « carte de crédit ».
De plus en plus de risques.
Contrairement aux fuites qui ont été décrites dans la presse en Amérique du nord, « la plupart des données que nous avons obtenues provenaient d’individus et pas d’entreprises ou de pratiques médicales », a constaté Khaled El Emam. S’il est clair, pour ces chercheurs, que les informations de nature financière sont celles qui sont à la fois le plus souvent compromises et recherchées, la révélation de données d’ordre médical n’est pas négligeable non plus. Compte tenu du fait que des dizaines de millions de personnes aux États-Unis et au Canada, utilisent les applications de partage de fichiers, un demi pour cent d’usagers représentent des dizaines de milliers d’adresses IP dévoilant des renseignements liés à la santé. Sans oublier que « l’information médicale est de plus en plus numérisée, conclut Khaled El Emam, et qu’elle sera donc aussi de plus en plus souvent exposée ».
*JAMIA 2010;17:148-158 doi:10.1136/jamia.2009.000232.
L’Académie de médecine s’alarme du désengagement des États-Unis en santé
Un patient opéré avant le week-end a un moins bon pronostic
Maladie rénale chronique : des pistes concrètes pour améliorer le dépistage
Covid : les risques de complications sont présents jusqu’à trente mois après hospitalisation