Faille AP-HP : entrepôts de données, rêve de l’État, cauchemar des citoyens

Photo by Sai Kiran Anagani on Unsplash — Sai Kiran Anagani,

Les bases de données créent de véritables pots de miel attirant les pirates. De plus, elles se transforment en arme de surveillance contre les citoyens.

Par François Jolain.

Décidément nos données de santé ne relèvent clairement plus du domaine privé.

Récemment j’évoquais les données de santé présentes dans le QR Code, et lisibles par tous. Maintenant c’est une fuite des hôpitaux de Paris qui laissent échapper dans la nature les données de 1,4 million de Français.

Depuis toujours l’informatique promet de stocker les données dans d’énormes entrepôts, des bases de données hébergées dans le cloud. Ces entrepôts sont fantasmés comme étant une étape nécessaire vers une plus grande modernité et efficacité de l’État.

Leurs désavantages sont pourtant bien réels. Ils créent de véritables pots de miel attirant les pirates. De plus, ils se transforment en arme de surveillance contre les citoyens.

Les pots de miel en forte croissance

L’État a toujours voulu collecter un maximum de données sur sa population.

On repense aux projets avortés de la police SAFARI en 1974, puis EDVIGE en 2008, qui souhaitaient centraliser les données de tous les Français. En outre, chaque levée d’impôts ou obtention d’aides ont été de bonnes raisons pour collecter toujours plus de données.

Ainsi l’État connaît précisément le revenu, le patrimoine, l’emploi, les résidences de tous les citoyens. Il connaît aussi tous les virements bancaires au-dessus de 1000 euros grâce à Tracfin. Il peut analyser vos réseaux sociaux. Depuis avril 2020, les détenteurs d’armes ont droit à un gros bonus, puisque l’État s’arroge le droit de connaître les convictions religieuses, origine ethnique, opinions publiques ou orientation sexuelle.

Récemment, la santé est devenue une priorité. On peut noter le Health Data Hub, agrégeant toutes les données de santé liées au covid… et hébergées sur un serveur américain. Il y a aussi le projet France Médecine Génomique 2025 prétendant collecter le génome d’un maximum de citoyens.

Or ces énormes bases de données se transforment en véritables pots de miel pour pirates. Il suffit de trouver une seule faille pour accéder à des millions de données. Le jeu en vaut la chandelle. Ce mois-ci, les hôpitaux de Paris ont vu leur base de résultats de test piratée, des millions de données de santé se trouvant ainsi en accès libre.

Malheureusement, de tels accidents sont de plus en plus fréquents mondialement, aussi bien dans le public que le privé. Une faille chez Facebook a ainsi fait fuiter les données de 2,8 milliards utilisateurs. En Finlande, un pirate a dérobé les dossiers psychiatriques de 36 000 citoyens et a ensuite exercé un chantage auprès de ses victimes.

Au Brésil, ce sont les données de 220 millions citoyens qui ont été piratées. En Bulgarie, c’est le service des impôts qui a été piraté. Vous imaginez les conséquences d’un tel piratage en France ? Tout le monde saura les sources de revenus et le patrimoine des Français sur plusieurs générations.

L’ours étatique

Permettez aussi une piqûre de rappel… historique.

Le régime de Weimar avait justement entrepris d’établir des registres mentionnant la religion, le patrimoine ou les armes de ses citoyens. Ces registres ont été d’une aide précieuse pour Hitler. En France sous le régime de Vichy, c’est le fichier Tulard qui a répertorié les Juifs d’Île-de-France.

Plus récemment, les Américains ont mis en place une base de données de leurs partenaires afghans. Elle est maintenant entre les mains des talibans, leur indiquant nom, prénom, empreinte digitale et portrait de tous les Afghans ayant travaillé pour l’ennemi.

Il existe toujours d’excellentes raisons (lutte terroriste ou pédophile, efficacité, modernisation, etc.) pour regrouper un maximum de données. Leurs avantages sont souvent réduits, mais leurs désavantages sont bien réels. À la fin, ces données se retrouvent toujours entre de mauvaises mains ruinant notre vie privée voire notre vie tout court.