Le gouvernement irlandais a corrigé il y a deux ans une vulnérabilité dans son portail national de vaccination contre le COVID-19 qui exposait les dossiers de vaccination d’environ un million d’habitants. Mais les détails de la vulnérabilité n’ont été révélés que cette semaine, après l’échec et la fin des tentatives de coordination de la divulgation publique avec l’agence gouvernementale.
Le chercheur en sécurité Aaron Costello a déclaré avoir découvert la vulnérabilité du portail de vaccination contre le COVID-19 géré par l’Irish Health Service Executive (HSE) en décembre 2021, un an après le début des vaccinations de masse contre le COVID-19 en Irlande.
Costello, qui possède une expertise approfondie dans la sécurisation des systèmes Salesforce, travaille désormais en tant qu’ingénieur principal en sécurité chez AppOmni, une startup de sécurité ayant un intérêt commercial dans la sécurisation des systèmes cloud.
Dans un article de blog partagé avec TechCrunch avant sa publication, Costello a déclaré que la vulnérabilité du portail de vaccination – construit sur le cloud de santé de Salesforce – signifiait que tout membre du public s’inscrivant sur le portail de vaccination HSE aurait pu accéder aux informations de santé d’un autre utilisateur enregistré. .
Costello a déclaré que les dossiers d’administration des vaccins de plus d’un million de résidents irlandais étaient accessibles à toute autre personne, y compris les noms complets, les détails de la vaccination (y compris les raisons de l’administration ou du refus de prendre des vaccins) et le type de vaccination, entre autres types de données. Il a également constaté que les documents HSE internes étaient accessibles à tout utilisateur via le portail.
« Heureusement, la possibilité de voir les détails de l’administration des vaccins de chacun n’était pas immédiatement évidente pour les utilisateurs réguliers qui utilisaient le portail comme prévu », a écrit Costello.
La bonne nouvelle est que personne d’autre que Costello n’a découvert le bug, et le HSE a tenu des journaux d’accès détaillés qui montrent qu’il n’y a eu « aucun accès ou visualisation non autorisé de ces données », selon une déclaration donnée à TechCrunch.
« Nous avons corrigé la mauvaise configuration le jour où nous en avons été alertés », a déclaré la porte-parole du HSE, Elizabeth Fraser, dans une déclaration à TechCrunch, interrogée sur la vulnérabilité.
« Les données consultées par cet individu étaient insuffisantes pour identifier une personne sans que des champs de données supplémentaires ne soient exposés et, dans ces circonstances, il a été déterminé qu’un rapport de violation de données personnelles à la Commission de protection des données n’était pas nécessaire », a déclaré le porte-parole du HSE.
L’Irlande est soumise à des lois strictes sur la protection des données en vertu du règlement RGPD de l’Union européenne, qui régit la protection des données et le droit à la vie privée dans toute l’UE.
La divulgation publique de Costello marque plus de deux ans depuis le premier signalement de la vulnérabilité. Son article de blog comprenait un calendrier pluriannuel révélant des allers-retours entre divers ministères gouvernementaux qui n’étaient pas disposés à revendiquer une divulgation publique. On lui a finalement dit que le gouvernement ne divulguerait pas publiquement le bug comme s’il n’avait jamais existé.
Les organisations ne sont pas obligées, même en vertu du RGPD, de divulguer les vulnérabilités qui n’ont pas entraîné un vol massif ou un accès à des données sensibles et qui ne relèvent pas des exigences légales d’une véritable violation de données. Cela dit, la sécurité repose souvent sur les connaissances des autres, en particulier de ceux qui ont eux-mêmes été confrontés à des incidents de sécurité. Le partage de ces connaissances pourrait aider à éviter des expositions similaires dans d’autres organisations qui, autrement, pourraient ne pas s’en rendre compte, et comprendre pourquoi les chercheurs en sécurité ont tendance à privilégier la divulgation publique pour éviter la répétition des erreurs d’antan.