Fact check: les États-Unis peuvent-ils vraiment accéder aux données de santé de Matignon ?

Cette semaine, j'ai découvert que les États-Unis auraient apparemment accès à toutes les données de santé des agents de Matignon.

Du moins, c'est ce qu'affirme un article récent, dont le titre sensationnaliste mérite qu'on s'y attarde : "Comment les États-Unis peuvent accéder aux données de santé des agents de Matignon, de l'Assemblée… et de l'Anssi".

Debunk méthodique de cette vision apocalyptique de la cybersécurité.

Commençons par le commencement : de quelles données parle-t-on exactement, et de quelles données dispose Alan ?

En tant que complémentaire santé, Alan n'a pas accès aux dossiers médicaux.

Pour rembourser correctement leurs membres, les assureurs ont accès au type de soin réalisé (une visite chez le généraliste, etc), mais pas à son contenu précis.

Ces données de remboursement - et non médicales - sont :

Quant à notre clinique virtuelle, qui permet à nos membres de converser avec des médecins par chat ? Ces conversations sont chiffrées de bout en bout. Même chez Alan, personne n'y a accès. Seuls l’équipe médicale et le patient peuvent les lire.

“Les Etats-Unis” risquent donc d'être déçus du butin : pas de dossiers médicaux détaillés, pas d'historique de santé complet, juste des lignes de remboursement chiffrées.

L'article brandit le CLOUD Act comme une sorte de passe-droit magique permettant aux États-Unis d'accéder à n'importe quelle donnée, n'importe où dans le monde. C'est un peu comme dire que parce que vous utilisez un iPhone, Tim Cook peut lire vos messages WhatsApp.

Les requêtes d’accès aux données dans le cadre du CLOUD Act sont soumises à un contrôle judiciaire et au respect de garanties procédurales strictes, notamment :

Même chose pour la section 702 du FISA qui exige un mandat délivré par un tribunal, et qui ne concerne que des types de surveillance autorisés (dont le secteur de l’assurance est exclu).

Il vise les accès aux métadonnées et en limite la collecte. Il ne permet pas l’accès au contenu des communications sans l’obtention de preuves concordantes préalables. Pour faire simple: le secteur d’Alan n’est pas concerné.

Ces  exigences procédurales strictes ont d’ailleurs été considérées comme proportionnées par la Commission Européenne et les autorités de protection des données européennes, qu’elles suivent de près.

OK, ça c’est pour la théorie. Qu’est-ce qui se passe réellement ?

AWS publie chaque année un rapport détaillant les données qu'ils ont réellement transmises. Le bilan pour 2023 : zéro donnée révélée au gouvernement américain. Pareil pour les années précédentes. La liste complète ici. 

Mais ce qui ne s’est jamais passé peut tout de même se passer dans le futur ?

Le chiffrement des données, sans accès aux clés de déchiffrement, prive les fournisseurs de tout contrôle sur les données depuis le sol américain. 

Or, c’est l’un des critères essentiels pour la validité et l’efficacité des demandes. Une telle solution met en échec, de manière systématique, les demandes éventuelles de services de renseignement américains.

On est face à une situation qui en théorie n’arrivera pas, qui en pratique n’arrive pas, et dont on est protégé si elle arrivait quand même, dans un monde hypothétique.

Plutôt que d'être obnubilés par des scénarios hypothétiques, rappelons quelques fuites de données récentes :

Ces fuites sont bien réelles, contrairement aux risques théoriques qu'on nous oppose. Notre priorité ? Protéger concrètement les données de nos membres contre ce genre d’attaque. 

Et pour cela, parce que la confiance de nos utilisateurs nous tient réellement à cœur, voilà ce qu’on fait pour protéger leurs données :

La source des failles de sécurité est souvent humaine, avant d’être technique. 60% des fuites de données sont dues à un manque de précaution, ou de connaissance, des utilisateurs. 

Jusqu’à aujourd’hui, Alan n’a pas été victime de faille de sécurité.

L’article qui nous met en cause finit par mentionner que le chiffrement que nous mettons en place est quelque chose qui pourrait être cassé dans le futur. L’algorithme utilisé pour le chiffrement des données par AWS est AES-256, recommandé par l’ANSSI, l’autorité qui fait foi en France. S’il était cassé, cela deviendrait un sujet pour toute entité utilisant ces recommandations.

En attendant, nous continuerons à innover, à protéger les données de nos membres, et à être transparents sur nos choix technologiques. Comme nous l'avons toujours fait dans nos notes de blog de 2020 et 2022, et comme nous le ferons bientôt pour parler de notre passage chez Qovery, plateforme française de déploiement de serveurs (eux ont déjà communiqué).

La cybersécurité est un sujet sérieux qui mérite mieux que des titres accrocheurs et des scénarios catastrophes. Elle mérite des actions concrètes, des protections réelles, et surtout, de la transparence.