Des fuites dans les laboratoires d'analyses et LCL ouvre les comptes des autres pendant un bug
Coup sur coup, deux importantes fuites de données ont été dévoilé : la section Checknews de Libération révèle une fuite de données médicales depuis un logiciel obsolète tandis que l'application LCL Mon Compte affichait les comptes d'autres clients de la banque. La CNIL va être sollicitée.
La sécurité informatique est une attention de tous les instants, surtout en entreprise. Deux cas viennent le rappeler : des données médicales provenant de plusieurs laboratoires d'analyses et les informations des comptes d'autres clients pour LCL.
Le service de vérification CheckNews de Liberation a retracé l'origine des données médicales et personnelles (patronyme, adresse, résultats de test, commentaires,...) de 500 000 patients disponibles en ligne. Ces dernières viennent de plusieurs laboratoires d'analyses médicales dans le nord-ouest de l'hexagone, principalement dans le Morbihan, l'Eure, le Loiret, les Côtes d'Armor et le Loir-et-Cher. Ils avaient tous en commun, l'utilisation du logiciel Mega-Bus commercialisé par Medasys, une filiale du groupe italien Dedalus. Selon l'éditeur, leurs clients migrent ou ont migré vers les solutions plus récentes. Le site d'actualités Next Inpact avait révélé des pratiques peu secure pour les logiciels maintenues mais obsolètes de l'éditeur.
De son côté, la banque LCL (Le Crédit Lyonnais, filiale du groupe Crédit Agricole) a laissé passer certains clients pour voir le comptes d'autres. Ainsi, pendant 1 heure mardi soir, les clients de la banque utilisant son application mobile LCL Mon Compte avaient accès aux comptes bancaires d'un autre client et pouvaient le gérer comme son propriétaire légitime. Le service a été coupé 1 heure après la découverte du problème, avant de redémarrer durant la nuit. LCL explique qu'une mise à jour de l'application de gestion a permis ces accès frauduleux. Certains spécialistes avancent plutôt un problème de répartition des charges (load-balancing) qui a permis l'échange de comptes. 72 000 clients seraient concernés par le bug de LCL.
LCL annonce avoir informé la CNIL et devra informer les clients concernés. De son côté, Dedalus France renvoit la faute aux laboratoires médicaux pour l'utilisation de logiciels obsolètes, qui devront informer la CNIL et les patients concernés. Cependant, la CNIL pourrait bien mettre Dedalus dans son viseur, en tant que sous-traitant (conformément au RGPD).
