Dans son rapport, Intertrust a analysé 100 applications de santé pour smartphone. Il s’agit d’applications grand public, sur la télésanté, les appareils médicaux, le commerce de la santé et le suivi COVID-19. Manifestement, les « security et privacy by design » restent des inconnus…
L’étude a cherché « les menaces les plus critiques de ces applications ». Le bilan est loin d’être positif avec 71 % d’entre elles présentant au moins une vulnérabilité grave qui pourrait conduire à une violation des données médicales.
91 % des applications échouent aux tests cryptographiques, ce qui signifie que leur cryptage « peut être facilement rompu par les cybercriminels, exposant potentiellement les données confidentielles des patients et permettant aux attaquants de falsifier les données signalées, d’envoyer des commandes illégitimes aux dispositifs médicaux connectés ou d’utiliser l’application à des fins malveillantes », selon Intertrust.
Un tiers des applications Android et 28 % des applications iOS sont « vulnérables à l’extraction de clés de chiffrement ». 60 % des applications Android sécurisent mal le stockage des données, « laissant les données non chiffrées facilement lisibles et modifiables par les attaquants et les applications malveillantes », lit-on dans ce rapport. Plus grave, une très forte majorité (85 %) des applications de suivi de l’infection à la COVID-19 sont sujettes à des fuites de données.
Une politique de confidentialité… bidon
D’après le rapport, 83 % de ces failles de sécurité pourraient être évitées à l’aide de technologies de protection existantes, « telles que l’obscurcissement du code, la détection de falsification et la cryptographie en boîte blanche ». « La situation s’améliore, mais il reste encore beaucoup de travail à faire », insiste Intertrust.
Les résultats de cette étude sont corroborés par une autre qui a été présentée mi-septembre lors d’un congrès de l’American Heart Association. Là aussi, les auteurs de cette étude constatent qu’elles présentent des risques réels quant au respect de la vie privée : « à chaque clic, vous risquez de transmettre involontairement vos données de santé à un tiers », avertissent les auteurs de ce rapport.
Pire, 35 applications mobiles pour diabétiques fournissent des données à un tiers alors que leur politique de confidentialité prétend le contraire ! Auteur d’une troisième étude (publiée en juillet dernier dans JAMA Network Open) sur ce sujet, le Dr David Grande conclut : « en ce moment, c’est comme le Far West, avec une protection zéro ».