Vue lecture

Au Royaume-Uni, une API fautive aurait pu laisser libre accès à des données de santé

Un trou de quatre mois
Au Royaume-Uni, une API fautive aurait pu laisser libre accès à des données de santé

Medefer, une société travaillant régulièrement avec le système de santé anglais, aurait eu pendant plusieurs années une API mal configurée qui aurait pu permettre l’exfiltration de données médicales sensibles. Aucun vol d’informations ne serait à déplorer, mais le cas rappelle le danger entourant les API mal configurées ou « perdues », comme le signalaient plusieurs rapports de sécurité l’année dernière.

Le NHS (National Health System) travaille en partenariats réguliers avec plusieurs entreprises du secteur privé. Parmi elles, Medefer, un géant anglais de la consultation externe, dont le produit doit permettre une accélération de la prise en charge. Dans le cadre de sa mission, il y a donc des échanges réguliers de données entre le NHS et les systèmes de Medefer.

Une porte grande ouverte

Hier, dans un article de la BBC, on apprenait que le NHS se penchait sur de sérieuses accusations : les données des patients auraient été vulnérables à des attaques à cause d’un bug chez Medefer. Plus précisément, une API (Application Programming Interface) était mal configurée, ce qui permettait en théorie de l’interroger pour obtenir des données médicales sensibles, sans vérifications particulières.

Ce qui est qualifié de « faille » a été découvert par un ingénieur, selon qui le problème existerait depuis au moins six ans. L’homme avait été embauché en octobre pour tester la sécurité des solutions logicielles de Medefer. La découverte a eu lieu en novembre et corrigée dans les jours qui ont suivi.

Un audit externe de sécurité a également commencé depuis fin février. Selon Medefer, rien ne prouve que le problème de configuration existe depuis aussi longtemps.

Une enquête est en cours pour définir plus précisément le périmètre du problème et de ses conséquences. Selon l’ingénieur (qui a tenu à rester anonyme), il est peu probable que des données aient été extraites, ce qui serait un immense coup de chance. Toutefois, il a invité à attendre le terme de l’enquête. Selon Medefer, les résultats préliminaires vont dans le même sens : aucune preuve de violation de données.

La société ajoute que le processus d’enquête est « extrêmement ouvert », que l’ICO (Information Commissioner’s Office) a été averti, tout comme la CQC (Care Quality Commission). C’est d’ailleurs cette dernière qui délivre les approbations permettant aux entreprises privées de nouer des échanges avec le NHS.

De novembre à février

Comme l’indique la BBC, la communauté des experts en cybersécurité n’est pas tendre avec Medefer. Beaucoup signalent ainsi que l’entreprise aurait beaucoup de chance si l’enquête et l’audit finissaient par ne révéler aucune fuite d’informations. Alan Woodward par exemple, de l’université de Surrey, rappelle ainsi que « la base de données peut être chiffrée et toutes les autres précautions prises, mais s’il existe un moyen de fausser l’autorisation de l’API, n’importe qui sachant comment faire peut y accéder ».

Pour le chercheur Scott Helme, il y a surtout un gros problème dans l’enchainement des évènements. Qu’aucune donnée n’ait été volée n’excuse pas le temps écoulé entre la découverte du problème en novembre et le déclenchement d’une enquête et d’un audit fin février. L’ingénieur qui avait trouvé le défaut de configuration avait pourtant recommandé de lancer immédiatement un audit.

Le NHS, de son côté, a rappelé que les organisations qui le composent ont la responsabilité de s’assurer que les prestataires privés « respectent leurs responsabilités légales et les normes nationales de sécurité des données ».

Plein feu sur les API

L’accident est d’autant plus visible que l’année 2024 a été marquée par un nombre croissant de rapports sur la recrudescence des attaques via les API. C’était le cas en janvier avec un épais document de Cloudflare, puis en août avec celui d’Akamai.

Les API sont de petits modules logiciels permettant d’interroger un produit pour obtenir des informations ou déclencher une action. Elles sont omniprésentes et notamment à la base du développement des applications sur les systèmes d’exploitation. Ces derniers exposent leurs capacités via des API, auxquelles le code des applications se réfèrent, pour des actions aussi variées que maximiser la taille d’une fenêtre ou faire appel à une solution de chiffrement gérée nativement.

Or, les rapports et chercheurs étaient formels : les entreprises ne font globalement pas assez attention à leurs API. Elles sont de plus en plus nombreuses et constituent autant de portes d’entrée, dont les accès doivent être sécurisés pour contrôler qui peut accéder aux ressources, selon le contexte.

Les rapports de Cloudflare et d’Akamai enjoignaient notamment les entreprises à dresser un inventaire complet et régulièrement mis à jour de toutes les API entourant leurs produits. Il fallait surtout référencer celles tournées vers l’extérieur, et donc accessibles par le réseau, internet ou autre. Ils alertaient également sur le danger des API fantômes : des interfaces créées il y a un certain temps et oubliées depuis.

☕️ Sony a déjà fait retirer 75 000 deepfakes musicaux des plateformes de streaming

Les chansons générées par IA afin d’imiter de vrais artistes sont en train de devenir « un sérieux problème », note Gizmodo. Sony, qui a d’ores et déjà retiré plus de 75 000 deepfakes de ce type sur les diverses plateformes de streaming, précise que ce chiffre n’en représente cela dit qu’une fraction des contrefaçons musicales de l’IA disponibles en ligne.

Les équipes en charge du problème doivent en effet « parcourir manuellement » les services de streaming à la recherche de ces contrefaçons et exiger leur suppression, explique le FT.

L’industrie musicale estime également que l’explosion de services et logiciels de création audiovisuelle via des intelligences artificielles génératives entraîne d’ores et déjà « un préjudice commercial pour les artistes ».

La société, qui l’un des trois plus grands labels de l’industrie musicale, a communiqué ce chiffre et ses craintes dans le cadre d’une consultation du gouvernement britannique sur les règles en matière de droits d’auteur.

Le gouvernement britannique a en effet publié ces propositions dans le cadre d’une initiative visant à faire du Royaume-Uni « le meilleur endroit pour lancer et développer une entreprise d’IA », comme l’a expliqué le Premier ministre, Sir Keir Starmer.

Une exception au Copyright serait introduite. Celle-ci laisserait, par défaut, les entreprises du numérique entrainer leurs systèmes sur les contenus copyrightés en échange de plus de transparence.

L’une des propositions permettrait ainsi aux entreprises d’IA d’entraîner gratuitement leurs modèles à des fins commerciales sur une série de contenus produits au Royaume-Uni, notamment la musique, les films, les livres et les journaux. Les titulaires de droits d’auteur devraient demander une dérogation spécifique pour être exemptés.

Sony rétorque que cela affecterait l’économie britannique, le Royaume-Uni étant le troisième marché mondial de la musique enregistrée et le deuxième exportateur mondial de musique enregistrée.

Médias et artistes britanniques s’étaient eux aussi mobilisés, fin février, arguant du fait que « le gouvernement britannique ne doit pas légaliser le vol au profit des sociétés d’intelligence artificielle ».

Au Royaume-Uni, une API fautive aurait pu laisser libre accès à des données de santé

Un trou de quatre mois
Au Royaume-Uni, une API fautive aurait pu laisser libre accès à des données de santé

Medefer, une société travaillant régulièrement avec le système de santé anglais, aurait eu pendant plusieurs années une API mal configurée qui aurait pu permettre l’exfiltration de données médicales sensibles. Aucun vol d’informations ne serait à déplorer, mais le cas rappelle le danger entourant les API mal configurées ou « perdues », comme le signalaient plusieurs rapports de sécurité l’année dernière.

Le NHS (National Health System) travaille en partenariats réguliers avec plusieurs entreprises du secteur privé. Parmi elles, Medefer, un géant anglais de la consultation externe, dont le produit doit permettre une accélération de la prise en charge. Dans le cadre de sa mission, il y a donc des échanges réguliers de données entre le NHS et les systèmes de Medefer.

Une porte grande ouverte

Hier, dans un article de la BBC, on apprenait que le NHS se penchait sur de sérieuses accusations : les données des patients auraient été vulnérables à des attaques à cause d’un bug chez Medefer. Plus précisément, une API (Application Programming Interface) était mal configurée, ce qui permettait en théorie de l’interroger pour obtenir des données médicales sensibles, sans vérifications particulières.

Ce qui est qualifié de « faille » a été découvert par un ingénieur, selon qui le problème existerait depuis au moins six ans. L’homme avait été embauché en octobre pour tester la sécurité des solutions logicielles de Medefer. La découverte a eu lieu en novembre et corrigée dans les jours qui ont suivi.

Un audit externe de sécurité a également commencé depuis fin février. Selon Medefer, rien ne prouve que le problème de configuration existe depuis aussi longtemps.

Une enquête est en cours pour définir plus précisément le périmètre du problème et de ses conséquences. Selon l’ingénieur (qui a tenu à rester anonyme), il est peu probable que des données aient été extraites, ce qui serait un immense coup de chance. Toutefois, il a invité à attendre le terme de l’enquête. Selon Medefer, les résultats préliminaires vont dans le même sens : aucune preuve de violation de données.

La société ajoute que le processus d’enquête est « extrêmement ouvert », que l’ICO (Information Commissioner’s Office) a été averti, tout comme la CQC (Care Quality Commission). C’est d’ailleurs cette dernière qui délivre les approbations permettant aux entreprises privées de nouer des échanges avec le NHS.

De novembre à février

Comme l’indique la BBC, la communauté des experts en cybersécurité n’est pas tendre avec Medefer. Beaucoup signalent ainsi que l’entreprise aurait beaucoup de chance si l’enquête et l’audit finissaient par ne révéler aucune fuite d’informations. Alan Woodward par exemple, de l’université de Surrey, rappelle ainsi que « la base de données peut être chiffrée et toutes les autres précautions prises, mais s’il existe un moyen de fausser l’autorisation de l’API, n’importe qui sachant comment faire peut y accéder ».

Pour le chercheur Scott Helme, il y a surtout un gros problème dans l’enchainement des évènements. Qu’aucune donnée n’ait été volée n’excuse pas le temps écoulé entre la découverte du problème en novembre et le déclenchement d’une enquête et d’un audit fin février. L’ingénieur qui avait trouvé le défaut de configuration avait pourtant recommandé de lancer immédiatement un audit.

Le NHS, de son côté, a rappelé que les organisations qui le composent ont la responsabilité de s’assurer que les prestataires privés « respectent leurs responsabilités légales et les normes nationales de sécurité des données ».

Plein feu sur les API

L’accident est d’autant plus visible que l’année 2024 a été marquée par un nombre croissant de rapports sur la recrudescence des attaques via les API. C’était le cas en janvier avec un épais document de Cloudflare, puis en août avec celui d’Akamai.

Les API sont de petits modules logiciels permettant d’interroger un produit pour obtenir des informations ou déclencher une action. Elles sont omniprésentes et notamment à la base du développement des applications sur les systèmes d’exploitation. Ces derniers exposent leurs capacités via des API, auxquelles le code des applications se réfèrent, pour des actions aussi variées que maximiser la taille d’une fenêtre ou faire appel à une solution de chiffrement gérée nativement.

Or, les rapports et chercheurs étaient formels : les entreprises ne font globalement pas assez attention à leurs API. Elles sont de plus en plus nombreuses et constituent autant de portes d’entrée, dont les accès doivent être sécurisés pour contrôler qui peut accéder aux ressources, selon le contexte.

Les rapports de Cloudflare et d’Akamai enjoignaient notamment les entreprises à dresser un inventaire complet et régulièrement mis à jour de toutes les API entourant leurs produits. Il fallait surtout référencer celles tournées vers l’extérieur, et donc accessibles par le réseau, internet ou autre. Ils alertaient également sur le danger des API fantômes : des interfaces créées il y a un certain temps et oubliées depuis.

☕️ Sony a déjà fait retirer 75 000 deepfakes musicaux des plateformes de streaming

Les chansons générées par IA afin d’imiter de vrais artistes sont en train de devenir « un sérieux problème », note Gizmodo. Sony, qui a d’ores et déjà retiré plus de 75 000 deepfakes de ce type sur les diverses plateformes de streaming, précise que ce chiffre n’en représente cela dit qu’une fraction des contrefaçons musicales de l’IA disponibles en ligne.

Les équipes en charge du problème doivent en effet « parcourir manuellement » les services de streaming à la recherche de ces contrefaçons et exiger leur suppression, explique le FT.

L’industrie musicale estime également que l’explosion de services et logiciels de création audiovisuelle via des intelligences artificielles génératives entraîne d’ores et déjà « un préjudice commercial pour les artistes ».

La société, qui l’un des trois plus grands labels de l’industrie musicale, a communiqué ce chiffre et ses craintes dans le cadre d’une consultation du gouvernement britannique sur les règles en matière de droits d’auteur.

Le gouvernement britannique a en effet publié ces propositions dans le cadre d’une initiative visant à faire du Royaume-Uni « le meilleur endroit pour lancer et développer une entreprise d’IA », comme l’a expliqué le Premier ministre, Sir Keir Starmer.

Une exception au Copyright serait introduite. Celle-ci laisserait, par défaut, les entreprises du numérique entrainer leurs systèmes sur les contenus copyrightés en échange de plus de transparence.

L’une des propositions permettrait ainsi aux entreprises d’IA d’entraîner gratuitement leurs modèles à des fins commerciales sur une série de contenus produits au Royaume-Uni, notamment la musique, les films, les livres et les journaux. Les titulaires de droits d’auteur devraient demander une dérogation spécifique pour être exemptés.

Sony rétorque que cela affecterait l’économie britannique, le Royaume-Uni étant le troisième marché mondial de la musique enregistrée et le deuxième exportateur mondial de musique enregistrée.

Médias et artistes britanniques s’étaient eux aussi mobilisés, fin février, arguant du fait que « le gouvernement britannique ne doit pas légaliser le vol au profit des sociétés d’intelligence artificielle ».

Patch décisive

En jouant à Civilization VII, je me disais qu’il y avait quelque chose de pourri au royaume du Danemark : son interface. Firaxis l’a bien compris et, depuis la sortie, affirme qu’elle est “top priorité sur leur shopping list”. Alors ils peaufinent, ajoutent, reprennent des tonnes de détails et…. ohlala, mais y’en avait du boulot ! Après un premier gros patch le 4 mars, et un autre annoncé pour le 25, Le développeur anglais à dû se dire qu’il n’avait même plus le temps de travailler sur ses futurs ajouts et DLC. Que faire ? Embaucher un moddeur bien entendu. Sukritact est donc engagé, lui qui répare leurs conner corrige de petits défauts de la série depuis 2017. En attendant qu’il ai terminé (ver 2046), téléchargez d’ailleurs tout de suite son patch en cours. Reste une question, qui mode les moddeurs ? P.

En direct, guerre en Ukraine : des drones ukrainiens visent la région de Moscou ; la rencontre entre représentants ukrainiens et américains commence en Arabie saoudite

Le ministère de la défense russe a annoncé mardi matin que 337 drones ukrainiens avaient été interceptés, dont 91 dans la région de Moscou. A Djedda, le négociateur ukrainien, Andriy Yermak, salue un début de rencontre « constructif » avec les Etats-Unis.

© SAUL LOEB / REUTERS

Le secrétaire d’Etat américain, Marco Rubio, le conseiller à la sécurité nationale, Mike Waltz, le ministre ukrainien des affaires étrangères, Andrii Sybiha, et le chef du bureau présidentiel ukrainien, Andriy Yermak, tiennent une réunion en présence du ministre des affaires étrangères saoudien, Fayçal Ben Farhan, et du conseiller à la sécurité nationale, Mosaad Ben Mohammad Al-Aiban, à Djedda, Arabie saoudite, le 11 mars 2025.

Collision entre un pétrolier et un cargo en mer du Nord : l’incendie toujours en cours

Le pétrolier « Stena-Immaculate », affrété par l’armée américaine, a été percuté par le « Solong », entraînant un incendie et une fuite de kérosène. Les recherches pour retrouver un membre d’équipage disparu avaient été interrompues dans la nuit.

© DENYS MEZENTSEV / AP

Sur cette image tirée d’une vidéo fournie par Denys Mezentsev, des équipes de secours interviennent après qu’un cargo a été heurté par un pétrolier transportant du kérosène pour l’armée américaine au large de l’Angleterre, lundi 10 mars 2025.

Inondations en Argentine : vulnérable, la ville de Bahia Blanca n’était pas préparée à un événement extrême

Le débordement de deux cours d’eau traversant la ville, alimenté par des pluies historiques, explique l’ampleur des dégâts. Le bilan provisoire est d’au moins 16 morts, tandis qu’environ cent personnes restent disparues.

© PABLO PRESTI / AFP

A Bahia Blanca, à 600 kilomètres au sud de Buenos Aires, après les inondations, le 10 mars 2025.

« Si on forçait le Royaume-Uni à choisir entre l’UE et les Etats-Unis, il opterait pour Washington, pour des raisons militaires et économiques »

Selon la spécialiste britannique des Etats-Unis Leslie Vinjamuri, Londres ne peut pas trop compter sur sa « relation spéciale » avec Washington. Mais le Royaume-Uni ne s’alignera pas pour autant sur l’Union européenne, estime-t-elle, dans un entretien au « Monde ».

© Carl Court / via REUTERS

Le premier ministre britannique Keir Starmer rencontre le président américain Donald Trump dans le bureau Ovale de la Maison Blanche, le 27 février 2025 à Washington.

Des Ouïgours portent plainte en France pour « génocide et harcèlement moral » de la part de la Chine

Deux femmes ouïgoures et l’Institut ouïgour d’Europe ont déposé plainte contre X pour plusieurs affaires qui relèveraient d’une répression transnationale menée par Pékin.

© GEOFFROY VAN DER HASSELT/AFP

La présidente de l’Institut ouïgour d’Europe, Dilnur Reyhan, à Paris, le 4 mai 2024.

Lundi noir à Wall Street : les «Sept Magnifiques» de la tech ont perdu 750 milliards de dollars en une séance

Le Nasdaq a connu sa pire séance lundi soir depuis 2022, les investisseurs s’inquiétant de la politique économique agressive de Donald Trump. Celle-ci arrive dans un contexte où les géants technologiques doivent pourtant rassurer les marchés sur la rentabilité des investissements dans l’IA.

© Adam Gray / REUTERS

Les déclarations successives de Donald Trump sur la politique commerciale inquiètent les investisseurs.

Le gouvernement s’active pour tenter de « réarmer » le pays

François Bayrou planche cette semaine sur l’effort budgétaire pour la défense, avec les chefs parlementaires et ses ministres. L’objectif: préparer de nouveaux investissements militaires, sans augmenter les impôts.

© Sébastien SORIANO

Le premier ministre, François Bayrou, et Sébastien Lecornu, ministre des Armées, le 3 janvier 2025, au Palais de l’Élysée, à Paris.

Retraites : méfiante, la CGT demande à Bayrou des clarifications sur les objectifs du «conclave»

Dans un courrier, le syndicat s’étonne que la tâche confiée aux partenaires sociaux ait évolué entre la déclaration de politique générale de François Bayrou et la lettre de mission envoyée par le premier ministre.

© XAVIER GALIANA / AFP

La secrétaire générale de la CGT, Sophie Binet, lors d’une manifestation aux côtés des salariés de Renault-Stellantis, le 4 février 2025 à Paris. 

Pierre Lellouche : «Lettre au président Emmanuel Macron au sujet d’une guerre qui pourrait dégénérer vers le pire»

FIGAROVOX/TRIBUNE - Dans une lettre ouverte à Emmanuel Macron, l’ancien ministre Pierre Lellouche fait part de ses inquiétudes au président de la République concernant le dossier ukrainien. Il alerte quant au risque d’engrenage.

© FREDERIC PETRY / Hans Lucas via AFP

«Pour rassurer quelque peu nos concitoyens inquiets, il n’est pas inutile de rappeler votre goût prononcé pour les changements de cap à répétition.»

«Sidérée et émue» : Gisèle Pelicot a reçu une lettre de soutien portant le cachet de Buckingham Palace

Une enveloppe portant le sceau de la famille royale d’Angleterre est arrivée parmi les milliers de témoignages de soutien adressés à Gisèle Pelicot, devenue le symbole de la lutte contre les violences sexuelles.

© CLEMENT MAHOUDEAU / AFP

Gisèle Pelicot arrive à la Cour d’Avignon. (Le 16 décembre 2024.)
❌