Un service proposé par APM International
d
http://www.enovacom.fr/
http://www.computer-engineering.fr
http://www.carestream.fr/vue-healthIT.html
17/02/2012   Envoyer par mail Imprimer   3 commentaires
Pour commenter cette dépêche Identifiez-vous
Une brèche de confidentialité colmatée sur le réseau social Carenity
PARIS, 17 février 2012 (TICsanté) – Le site internet carenity.com a réparé le 16 février une faille de sécurité, constatée par TICsanté, qui rendait aisément accessible tous les renseignements fournis par les membres de ce réseau social sur leur état de santé depuis plusieurs mois.
La manipulation, accessible à un internaute peu averti, permettait d'afficher la liste des informations saisies par un membre de Carenity pour un indicateur donné, par exemple la tension artérielle, le cholestérol, l'hémoglobine glyquée, l'autoévaluation de l'asthme, la douleur musculaire et articulaire, l'anxiété ou encore l'état dépressif.

Plusieurs dizaines de listes étaient ainsi accessibles pour chaque membre, à partir de son numéro d'utilisateur, que cette personne ait choisi de "partager ses informations de profil santé" ou non.

Il est cependant nécessaire de disposer d'un compte sur Carenity pour effectuer le rapprochement entre un numéro et le pseudonyme correspondant. Selon deux lanceurs d'alerte interrogés par TICsanté, la véritable identité de l'utilisateur peut ensuite être facilement recoupée, car l'utilisation d'un même surnom est fréquente sur internet.

Interrogé par TICsanté le 16 février, le fondateur de Carenity, Michael Chekroun, n'était "pas au courant" de l'existence de cette faille et ne pouvait donc pas en préciser "l'ancienneté". Le site avait été mis en ligne dix mois auparavant (voir dépêche TICsanté du 16 juin 2011).

Toutefois, quelques heures plus tard, la brèche semblait avoir été colmatée, la manoeuvre étant devenue inopérante. "Nous avons résolu un problème technique transitoire, lié à une nouvelle version du site" en cours de développement, expliquait-il.

Le dirigeant souligne que "les pages concernées pointaient vers des contenus non identifiants" et assure qu'il prendra "toutes les dispositions dans les meilleurs délais pour renforcer les processus de sécurité sur le long terme".

Par ailleurs, la fondation Health On the Net (HON), contactée par TICsanté, indique avoir reçu une plainte visant Carenity et s'apprête à suspendre la certification HONcode accordée le 8 octobre 2011.

HON avait déjà entrepris de réexaminer cette décision le 15 février, en raison de signalements antérieurs portant sur d'autres irrégularités, signale Célia Boyer, directrice exécutive de la fondation basée à Genève (Suisse).

"Nous surveillons ce site de très près depuis le mois de décembre" 2011, ajoute-t-elle. La durée de validité d'une certification est pourtant d'un an, comme le rappelle la Haute autorité de santé, responsable de cette procédure, sur son site internet./gb/ar
Rédigé par: lcazellet@formaticsante.com  le 20/02/2012 à 18:04
Aucun système informatique n'est entièrement sécurisé, aujourd'hui on le sait. Il importe bien sûr de prévenir ce genre de faille, y compris dans le DMP en cours de déploiement.
Mais il nous paraît plus important aujourd'hui de proposer et faciliter l'accès aux patients et aux familles à ce type de site et de réseau social dont ils sont susceptibles de tirer de nombreux bénéfices et les conseiller sur la façon de protéger eux-mêmes leur anonymat et leurs données de santé.
Je vous invite à consulter la vidéo du témoignage d'un e-patient, présentée sur le site de l'association FORMATICSanté, qui montre le bénéfice que peuvent tirer les patients de l'utilisation du Web: www.formaticsante.com/actualites/765-temoignage-du-e-patient
Les professionnels de santé ont sans doute aujourd'hui à apprendre à mieux utiliser les ressources du Web, mais aussi à conseiller les patients pour une bonne utilisation du Web. Le dernier livre blanc publié par le CNOM, "Déontologie médicale sur le web", vise à accompagner les médecins dans le développement de leur usage d'Internet, ainsi que dans les conseils à donner aux patients pour un bon usage du Web.

Lisette Cazellet
Présidente de l'association FORMATICSanté


Haut de page
Rédigé par: michael.chekroun@carenity.com  le 17/02/2012 à 12:38
Le 16 février 2012 à 11h04, nous avons effectivement été informés d'une anomalie de fonctionnement sur notre site web permettant à des personnes mal intentionnées d'avoir accès à une partie des informations (indicateurs de suivi) de nos membres.
Les mesures correctives immédiatement apportées ont permis de revenir à un fonctionnement normal dès 13h10.
Les informations directement identifiantes n'ont à aucun moment été rendues accessibles.

Nous nous doutions qu'avec la visibilité croissante de Carenity, nous pourrions être la cible de personnes mal intentionnées. Nous renforçons en ce sens nos mesures de contrôle de sécurité continuellement. Notre mission est plus que jamais d'apporter à nos membres un service toujours plus riche et plus utile. Nous sommes fiers de recevoir régulièrement les témoignages de nos membres confirmant l'utilité de Carenity pour l'échange et l'entraide que notre site leur apporte au quotidien.

Michael Chekroun
Fondateur de Carenity
Haut de page
Rédigé par: GM  le 17/02/2012 à 14:15
"Des personnes mal intentionnées" ? Pourquoi prêter une intention quelconque aux personnes accédant à des données non protégées d'un site web ?
Les lanceurs d'alerte qui découvrent, par des manipulations simples, des données auxquelles ils ne devraient pas avoir accès sont-ils "des personnes mal intentionnées" ?
Les utilisateur de Carenity (si j'ai bien compris il fallait être inscrit pour avoir accès à ces données) et du web en général sont-ils à priori "des personnes mal intentionnées" ?

PS: Je ne suis ni un lanceur d'alerte ni un utilisateur de Carenity
Haut de page
http://www.web100t.fr
http://www.emed.fr/
http://www.ticsante.com/show.php?page=inscription