Une prescription d’ESET pour protéger la vie privée : prudence lors de l’utilisation d’une appli de santé mobile
Publié le 19/03/2024 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Le 19 mars 2024 – Aujourd’hui, dans l’économie numérique, la santé est un domaine en plein essor. C’est un marché qui connaît une croissance à deux chiffres et dont la valeur, en 2030, est estimée à 861 milliards de dollars.
Lors de l’utilisation d’une appli de santé, on peut partager des données parmi les plus sensibles que l’on possède. Le RGPD classe (GDPR classifies) les informations médicales comme des données de « catégorie spéciale», car elles peuvent «créer des risques importants pour les droits et libertés fondamentaux de l’individu» si elles sont divulguées. Dès lors, les régulateurs obligent les organisations à fournir des protections supplémentaires.
Quels sont les principaux risques de confidentialité et de sécurité de ces applis ?
1. Problèmes de sécurité des données
Ces problèmes sont souvent dus au fait que les développeurs ne respectent pas les règles de bonnes pratiques en matière de cyber-sécurité. Ils peuvent inclure :
• Des applis qui ne sont plus prises en charge ou ne reçoivent pas de mises à jour : les fournisseurs n’ont pas mis en place des programmes de divulgation/gestion des vulnérabilités ou sont peu intéressés de mettre leurs produits à jour. Cela signifie que le logiciel peut être truffé de vulnérabilités que les attaquants peuvent exploiter pour voler les données.
• Protocoles non sécurisés : les applis utilisant des protocoles de communication non sécurisés exposent les utilisateurs au risque que des pirates interceptent leurs données en transit depuis l'appli vers les serveurs back-end ou cloud du fournisseur, là où elles sont traitées.
• Pas d'authentification multi facteur (MFA) : la plupart des services réputés proposent la MFA pour renforcer la sécurité lors de la phase de connexion. Sans cela, les pirates pourraient obtenir le mot de passe par phishing ou une violation distincte (si l’on réutilise les mots de passe dans différentes applis) et se connecter comme s'ils en étaient le propriétaire.
• Mauvaise gestion des mots de passe : les applis qui permettent aux utilisateurs de conserver les mots de passe par défaut ou de définir des informations d'identification non sécurisées telles que « passw0rd » ou « 111111 ». L’utilisateur est exposé au bourrage d'informations d'identification et à d’autres tentatives de force brute qui pirateront ses comptes.
• Sécurité d'entreprise : les éditeurs d'applis peuvent avoir mis en place des contrôles et des processus de sécurité limités dans leur environnement de stockage de données. Cela peut inclure une mauvaise sensibilisation des utilisateurs, une détection limitée des maliciels et points de terminaison/réseau, l'absence de cryptage des données, des contrôles d'accès limités et l'absence de processus de gestion des vulnérabilités ou de réponse aux incidents. Cela augmente le risque d’une violation de données.
• Partage excessif de données
Les informations sur la santé des utilisateurs (PHI) peuvent inclure des détails très sensibles sur les maladies sexuellement transmissibles, la toxicomanie ou d’autres conditions stigmatisantes. Ces données peuvent être vendues ou partagées avec des tiers - des annonceurs à des fins de marketing et de publicités ciblées. Parmi les exemples cités par Mozilla (noted by Mozilla) figurent les fournisseurs de mHealth qui :
• combinent les informations sur les utilisateurs avec les données achetées auprès de courtiers, de sites de réseaux sociaux et autres, pour créer des profils d'identité plus complets ;
• ne permettent pas aux utilisateurs de demander la suppression de données spécifiques ;
• Utilisent des déductions faites lorsque les utilisateurs répondent à des questionnaires d'inscription avec des questions révélatrices sur l'orientation sexuelle, la dépression, l'identité de genre, etc. ;
• Autorisent les cookies de session tiers qui identifient et suivent les utilisateurs sur d'autres sites pour diffuser des publicités ciblées ;
• Autorisent l'enregistrement de sessions surveillant les mouvements de la souris de l'utilisateur, le défilement et la saisie.
2. Politique de confidentialité peu claires
Certains prestataires de santé mobile ne sont pas toujours clairs à propos des pratiques de confidentialité ci-dessus. Ils utilisent un langage vague ou cachent leurs activités dans les petits caractères des conditions générales. Cela peut donner un faux sentiment de sécurité/confidentialité.
Que dit la loi ?
• RGPD : la loi européenne sur la protection des données est sans équivoque pour les organisations qui gèrent des catégories spéciales de données personnelles de santé. Les développeurs doivent évaluer l'impact sur la vie privée, respecter les principes du droit à l'effacement et de la minimisation des données et prendre des « mesures techniques appropriées » pour s’assurer que « les garanties nécessaires » soient intégrées pour protéger les données personnelles.
• HIPAA (Health Insurance Portability and Accountability Act): les applis mHealth proposées pour une utilisation par des particuliers ne sont pas couvertes par la HIPAA, car les fournisseurs ne sont pas une «entité couverte» ou un «associé commercial». Certains le sont et cela nécessite des mesures de protection administratives, physiques et techniques appropriées ainsi qu’une analyse annuelle des risques.
• CCPA et CMIA : les californiens disposent de deux lois protégeant leur sécurité et leur vie privée dans un contexte de santé mobile : le Confidentiality of Medical Information Act (CMIA) et le California Consumer Privacy Act (CCPA). Ces lois exigent un niveau élevé de protection des données et un consentement explicite, mais ne s’appliquent qu’aux californiens.
Prendre des mesures pour protéger la vie privée
• Effectuez des recherches avant de télécharger une appli. Découvrez ce que disent les autres utilisateurs et s'il y a des signaux d'alarme de la part d'évaluateurs
• Limitez ce que vous partagez via ces applis, songez que ce que vous dites peut-être partagé.
• Ne liez pas l'appli à vos comptes de réseaux sociaux et ne les utilisez pas pour vous connecter. Cela limitera les données qui peuvent être partagées.
• N'autorisez pas les applis à accéder à la caméra, à la géolocalisation de votre appareil, etc.
• Limitez le suivi des publicités dans les paramètres de confidentialité de votre téléphone.
• Utilisez toujours le MFA s’il est proposé et créez des mots de passe forts et uniques.
• Utilisez l'appli sur sa dernière version (la plus sécurisée).
LECTURE CONNEXE: Every breath you take, every move you make: Do fitness trackers pose privacy risks?
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Lors de l’utilisation d’une appli de santé, on peut partager des données parmi les plus sensibles que l’on possède. Le RGPD classe (GDPR classifies) les informations médicales comme des données de « catégorie spéciale», car elles peuvent «créer des risques importants pour les droits et libertés fondamentaux de l’individu» si elles sont divulguées. Dès lors, les régulateurs obligent les organisations à fournir des protections supplémentaires.
Quels sont les principaux risques de confidentialité et de sécurité de ces applis ?
1. Problèmes de sécurité des données
Ces problèmes sont souvent dus au fait que les développeurs ne respectent pas les règles de bonnes pratiques en matière de cyber-sécurité. Ils peuvent inclure :
• Des applis qui ne sont plus prises en charge ou ne reçoivent pas de mises à jour : les fournisseurs n’ont pas mis en place des programmes de divulgation/gestion des vulnérabilités ou sont peu intéressés de mettre leurs produits à jour. Cela signifie que le logiciel peut être truffé de vulnérabilités que les attaquants peuvent exploiter pour voler les données.
• Protocoles non sécurisés : les applis utilisant des protocoles de communication non sécurisés exposent les utilisateurs au risque que des pirates interceptent leurs données en transit depuis l'appli vers les serveurs back-end ou cloud du fournisseur, là où elles sont traitées.
• Pas d'authentification multi facteur (MFA) : la plupart des services réputés proposent la MFA pour renforcer la sécurité lors de la phase de connexion. Sans cela, les pirates pourraient obtenir le mot de passe par phishing ou une violation distincte (si l’on réutilise les mots de passe dans différentes applis) et se connecter comme s'ils en étaient le propriétaire.
• Mauvaise gestion des mots de passe : les applis qui permettent aux utilisateurs de conserver les mots de passe par défaut ou de définir des informations d'identification non sécurisées telles que « passw0rd » ou « 111111 ». L’utilisateur est exposé au bourrage d'informations d'identification et à d’autres tentatives de force brute qui pirateront ses comptes.
• Sécurité d'entreprise : les éditeurs d'applis peuvent avoir mis en place des contrôles et des processus de sécurité limités dans leur environnement de stockage de données. Cela peut inclure une mauvaise sensibilisation des utilisateurs, une détection limitée des maliciels et points de terminaison/réseau, l'absence de cryptage des données, des contrôles d'accès limités et l'absence de processus de gestion des vulnérabilités ou de réponse aux incidents. Cela augmente le risque d’une violation de données.
• Partage excessif de données
Les informations sur la santé des utilisateurs (PHI) peuvent inclure des détails très sensibles sur les maladies sexuellement transmissibles, la toxicomanie ou d’autres conditions stigmatisantes. Ces données peuvent être vendues ou partagées avec des tiers - des annonceurs à des fins de marketing et de publicités ciblées. Parmi les exemples cités par Mozilla (noted by Mozilla) figurent les fournisseurs de mHealth qui :
• combinent les informations sur les utilisateurs avec les données achetées auprès de courtiers, de sites de réseaux sociaux et autres, pour créer des profils d'identité plus complets ;
• ne permettent pas aux utilisateurs de demander la suppression de données spécifiques ;
• Utilisent des déductions faites lorsque les utilisateurs répondent à des questionnaires d'inscription avec des questions révélatrices sur l'orientation sexuelle, la dépression, l'identité de genre, etc. ;
• Autorisent les cookies de session tiers qui identifient et suivent les utilisateurs sur d'autres sites pour diffuser des publicités ciblées ;
• Autorisent l'enregistrement de sessions surveillant les mouvements de la souris de l'utilisateur, le défilement et la saisie.
2. Politique de confidentialité peu claires
Certains prestataires de santé mobile ne sont pas toujours clairs à propos des pratiques de confidentialité ci-dessus. Ils utilisent un langage vague ou cachent leurs activités dans les petits caractères des conditions générales. Cela peut donner un faux sentiment de sécurité/confidentialité.
Que dit la loi ?
• RGPD : la loi européenne sur la protection des données est sans équivoque pour les organisations qui gèrent des catégories spéciales de données personnelles de santé. Les développeurs doivent évaluer l'impact sur la vie privée, respecter les principes du droit à l'effacement et de la minimisation des données et prendre des « mesures techniques appropriées » pour s’assurer que « les garanties nécessaires » soient intégrées pour protéger les données personnelles.
• HIPAA (Health Insurance Portability and Accountability Act): les applis mHealth proposées pour une utilisation par des particuliers ne sont pas couvertes par la HIPAA, car les fournisseurs ne sont pas une «entité couverte» ou un «associé commercial». Certains le sont et cela nécessite des mesures de protection administratives, physiques et techniques appropriées ainsi qu’une analyse annuelle des risques.
• CCPA et CMIA : les californiens disposent de deux lois protégeant leur sécurité et leur vie privée dans un contexte de santé mobile : le Confidentiality of Medical Information Act (CMIA) et le California Consumer Privacy Act (CCPA). Ces lois exigent un niveau élevé de protection des données et un consentement explicite, mais ne s’appliquent qu’aux californiens.
Prendre des mesures pour protéger la vie privée
• Effectuez des recherches avant de télécharger une appli. Découvrez ce que disent les autres utilisateurs et s'il y a des signaux d'alarme de la part d'évaluateurs
• Limitez ce que vous partagez via ces applis, songez que ce que vous dites peut-être partagé.
• Ne liez pas l'appli à vos comptes de réseaux sociaux et ne les utilisez pas pour vous connecter. Cela limitera les données qui peuvent être partagées.
• N'autorisez pas les applis à accéder à la caméra, à la géolocalisation de votre appareil, etc.
• Limitez le suivi des publicités dans les paramètres de confidentialité de votre téléphone.
• Utilisez toujours le MFA s’il est proposé et créez des mots de passe forts et uniques.
• Utilisez l'appli sur sa dernière version (la plus sécurisée).
LECTURE CONNEXE: Every breath you take, every move you make: Do fitness trackers pose privacy risks?
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/