Etude : la majorité des applis de santé ne sont pas conformes aux règles de sécurité des données

Paris - Publié le mercredi 14 février 2018 à 12 h 32 - n° 5787 Les 20 applications mobiles de santé les plus populaires compromettent la vie privée de millions d’utilisateurs. C’est le constat qui ressort d’une étude* menée par des chercheurs grecs de l’Université du Pirée. Les résultats de leurs travaux publiés le 29 janvier 2018 dans le journal IEEE Access (Institute for Electrical and Electronics Engineers) révèlent que les exigences légales en matière de protection des données sensibles ne sont pas respectées. Quant aux futures clauses du règlement européen sur la protection des données (RGPD), elles sont aussi rarement appliquées.

DR - © D.R.

Des failles dans la protection des données sensibles

Collecter des données de santé est aujourd’hui à la portée des développeurs de la moindre application mobile. Des millions de data sur le sommeil, l’activité physique, la fréquence cardiaque, la pression artérielle et bien d’autres indicateurs de santé sont stockées par des applications mobiles gratuites et donc à la portée de tous. Alors que ces données sont sensibles, on pourrait s’attendre à ce que les applications mobiles de santé respectent les règles de sécurité et de confidentialité et les dispositions juridiques contraignantes en matière de protection des données pour garantir la confidentialité et la sécurité de ces data. Plusieurs études ont déjà mis en évidence de nombreuses failles en la matière. En 2016, la Commission européenne avait d’ailleurs réagi en élaborant un nouveau règlement européen sur la protection des données (RGPD), qui sera applicable en 2018.

20 applis santé passées au crible

Quelques mois avant que le RGPD n’entre en application, des chercheurs grecs de l’Université du Pirée ont voulu faire un nouvel état des lieux. Ils ont donc évalué les risques concernant la sécurité et la confidentialité des données chez les 20 applications mobiles santé les plus populaires. Ils ont par ailleurs mené une procédure d’audit de conformité RGPD pour déterminer si ces applications sont conformes aux nouvelles exigences légales. Les applis sélectionnées devaient toutes être gratuites, en anglais, avoir été téléchargées au moins 100 000 fois et demander aux utilisateurs d’entrer des données personnelles ou de santé qui seraient transmises à un hôte distant. Elles appartenaient à l’une de ces 3 catégories : grossesse et développement du nouveau-né, agenda de santé, diabète et pression artérielle.

La méthodologie des chercheurs reposait en fait sur 3 questions majeures :

Qui a accès aux données personnelles de l’application ?
Quelles sont les données exactes auxquelles chaque partie peut accéder ?
Quel est le niveau de sécurité de chaque canal de communication ?

Les résultats de leurs investigations, publiés le 29 janvier 2018 dans le journal IEEE Access (Institute for Electrical and Electronics Engineers), révèlent de nombreuses failles en terme de sécurité et de confidentialité des données.

Résultats

20 % seulement des applis mobiles de santé stockent les données en local, sur le smartphone de l’utilisateur ;
50 % des applis partagent les données personnelles (textes et images) avec des tiers ;
50 % des applis transmettent les données et gèrent les mots de passe des utilisateurs sans connexion sécurisée par protocole hypertexte HTTPS ;
Des accès non justifiés à l’agenda, au répertoire de contacts ou encore aux SMS étaient demandés par plusieurs applications ;
Un tiers des applis transmettaient des data avec la méthode GET au lieu de POST. Les données étaient donc en clair dans l’URL et non intégrées dans un formulaire et donc difficilement accessibles ;
35 % des applis communiquaient les données de géolocalisation à des tiers.

Les auteurs de cette étude ont communiqué leurs résultats à chaque fournisseur d’applications. Et un an plus tard, ils ont vérifié si la situation s'était améliorée. Globalement, une nette amélioration a été enregistrée concernant les failles de sécurité et de confidentialité majeures. En revanche, les progrès étaient presque nuls pour les failles mineures.

Loin de la conformité avec le RGPD

L’audit de conformité au règlement européen sur la protection des données (RGPD) met également en évidence de nombreuses lacunes.

11 applis sur 19 fournissent au moins une information relative à la politique de confidentialité des données ;
Une seule appli demande le consentement de l’utilisateur pour le recueil d’informations supplémentaires ;
36 % des applis offrent aux utilisateurs la possibilité de retirer leur consentement et ainsi d’effacer toute information précédemment consentie.

Un appel aux développeurs

En conclusion, une majorité des applications mobiles de santé passées au crible compromettent la vie privée de leurs d’utilisateurs. « Notre étude met en évidence de nombreuses lacunes majeures et mineures des applications m-santé », écrivent les chercheurs grecs. A leurs yeux, le manque de cryptage, l’utilisation de GET au lieu des requêtes POST pour la transmission de données sensibles et des pratiques de programmation non sécurisées sont quelques-uns des principaux problèmes de sécurité et de confidentialité que les développeurs doivent résoudre lors de la création d’applications. Le profilage des utilisateurs, que ce soit à des fins de publicité ou de marketing ou pour la surveillance du comportement des utilisateurs, est un problème de confidentialité supplémentaire qui doit aussi être pris en compte pour garantir la confidentialité des utilisateurs.

IEEE Access

Fiche n° 2493, créée le 13/02/18 à 06:13

IEEE Access

Catégorie : Industrie

* Security and Privacy Analysis of Mobile Health Applications : The Alarming State of Practice

Achilleas Papageorgiou, Member, IEEE, Michael Strigkos, Eugenia Politou, Member, IEEE, Efthimios Alepis, Member, IEEE, Agusti Solanas, Senior Member, IEEE, and Constantinos Patsakis, Member, IEEE,

DOI : 10.1109/ACCESS.2018.2799522

Fin