•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Essais cliniques : les données de milliers de Québécois compromises

Au moins 25 000 Québécois ayant transmis leurs renseignements personnels à la multinationale Syneos Health sont touchés. Toutefois, rien n'indique que ces informations ont été utilisées à des fins malveillantes.

Une affiche indiquant les bureaux de Syneos Health.

Syneos Health emploie environ 500 personnes au Québec, dont 50 à Montréal, dans ses bureaux du boulevard Décarie.

Photo : Radio-Canada / Ivanoh Demers

Des milliers de Québécois ayant soumis leur candidature pour participer à des essais cliniques de la société Syneos Health – autrefois connue sous le nom d’Anapharm – ont vu leurs données personnelles compromises, a appris Radio-Canada.

Les données étaient stockées à Ashburn, en Virginie, dans des serveurs appartenant à Amazon, qui offre un service d’infonuagique baptisé « Amazon Simple Storage Service » (ou « Amazon S3 »). Par défaut, les comptes créés sur ce site ne sont accessibles qu’à leurs propriétaires.

Or, un compte appartenant à Syneos Health, qui se servait d’Amazon S3 pour entreposer des copies de sauvegarde de sites web et de bases de données, n’était protégé par aucun mot de passe. N’importe qui pouvait accéder à son contenu. De plus, les fichiers stockés dans le compte pouvaient être retrouvés grâce à des moteurs de recherche spécialisés.

C’est un consultant en sécurité de l’information qui a contacté Radio-Canada sous le sceau de la confidentialité pour l’en avertir. Nous avons ensuite soumis sa démarche à la firme de cybersécurité GoSecure, qui a accepté de faire des recherches pour nous, pro bono.

Celles-ci ont confirmé qu’une des bases de données compromises était issue d’un site web servant notamment au recrutement de volontaires québécois pour participer à des essais cliniques contre rémunération.

Vous avez une nouvelle à partager, une histoire à raconter, une situation à dénoncer? Écrivez-nous à l’adresse : temoin@radio-canada.ca (Nouvelle fenêtre)

Directeur des services de tests d’intrusion chez GoSecure, Laurent Desaulniers affirme que la brèche de sécurité qu’il a constatée a pu mener à une fuite ou à une perte de données.

C’est sûr que la compagnie aurait dû mettre en place des mesures pour se protéger contre ça, mais ce n’est pas une faille qui est très rare, souligne-t-il, évoquant les cas de Netflix, de Ford et de la Banque TD, qui ont récemment perdu des données stockées sur Amazon S3 dans des comptes mal protégés.

M. Desaulniers devant un ordinateur.

Ce genre de problème est « assez fréquent », regrette Laurent Desaulniers, directeur des services de tests d’intrusion chez GoSecure.

Photo : Radio-Canada / Jacques Racine

Syneos Health a décliné notre demande d’entrevue. Mais dans une déclaration transmise à Radio-Canada mercredi après-midi, une porte-parole de la société a indiqué avoir appris récemment que des données associées à une sauvegarde sur un site web ont été rendues disponibles par inadvertance sur l’Internet et accessibles lors de certaines recherches.

Après avoir pris connaissance de l’incident, nous avons fait en sorte de sécuriser les données et nous avons lancé une enquête avec l’assistance d’une firme indépendante et reconnue spécialisée en investigation légale sur la cybersécurité, a-t-elle ajouté, en soulignant que la copie publique a été supprimée.

Nous prenons très au sérieux la sécurité de l’information qui nous est confiée.

Extrait de la déclaration de Syneos Health

On ne sait pas combien de temps les renseignements personnels transmis à Syneos Health ont été exposés de la sorte. Mais les copies de sauvegarde dataient toutes du 12 avril 2018.

De même, il est impossible de savoir combien de personnes ont pu télécharger les fichiers en question, puisque seul le propriétaire du compte Amazon S3 peut savoir qui l’a consulté.

Des informations sensibles

Les renseignements personnels qui ont été compromis n’étaient pas tirés des essais cliniques comme tels, mais plutôt de différents formulaires mis en ligne par Syneos Health pour permettre à sa clientèle québécoise de s’inscrire comme volontaire à une étude, de s’abonner à l’infolettre, de postuler à un emploi ou tout simplement d’écrire un message à l'entreprise.

Ces formulaires ont été remplis par au moins 25 000 personnes entre octobre 2014 et avril 2018.

Parmi les renseignements fournis par les répondants figuraient : leur nom, leur sexe, leur date de naissance, leur taille, leur poids, leur adresse électronique, leurs numéros de téléphone, leur lieu de résidence, le nom de leur médecin, leur numéro de dossier, l’étude à laquelle ils souhaitaient participer ainsi que des informations sur leur consommation de tabac et leur prise de médicaments.

Mais les données personnelles compromises révélaient des détails encore plus intimes sur certains volontaires potentiels. Dans la section d’un formulaire consacrée à l'état de santé, des personnes avaient par exemple admis être atteintes du VIH, du cancer, de schizophrénie, de bipolarité, de stress post-traumatique, de dysfonction érectile, etc.

Nous travaillons à confirmer quelle information peut avoir été touchée, a indiqué Syneos Health dans sa déclaration. Mais nous ne pensons pas que des données financières ou des numéros d’assurance sociale étaient présents dans ces données, a précisé l'entreprise.

Des données en ligne malgré une politique de confidentialité

Le formulaire en question – qui est toujours en ligne – se terminait par une case où l’internaute devait autoriser la compagnie à inclure les présentes informations personnelles dans sa base de données selon sa politique de confidentialité.

Ladite politique convient de l’importance de ces informations personnelles. Nous prenons les mesures appropriées, en conformité avec les normes de l’industrie généralement acceptées [...] afin de protéger les données personnelles qui nous sont envoyées de la perte, de l’usage abusif et de l’accès non autorisé, de la divulgation, de l’altération et de la destruction, peut-on lire sur le site web de la société.

Celle-ci précise toutefois dans sa politique de confidentialité qu’aucune méthode de sécurité ni transmission sur l’Internet n’est entièrement sûre.

Un lien fort avec le Québec

L’histoire de Syneos Health est intimement liée à celle d’Anapharm, fondée en 1994 par deux chercheurs de l’Université Laval.

Après avoir été vendu à des intérêts américains dans les années 2000, le laboratoire québécois est passé en 2011 dans le giron d’inVentiv Health, une compagnie juridiquement constituée au Delaware, qui a elle-même fusionné avec INC Research en 2017 pour donner naissance, en janvier 2018, à Syneos Health.

Cette nouvelle compagnie, enregistrée au Delaware elle aussi, avait déjà vu le jour au moment où les copies de sauvegarde des sites web et des bases de données d’inVentiv ont été téléversées sur Amazon S3. D’ailleurs, GoSecure confirme que le mot « Syneos » apparaît à plusieurs reprises dans les fichiers qu’elle a consultés.

Cotée au NASDAQ, la société Syneos Health est considérée comme un leader mondial dans le domaine de la recherche clinique pour les fabricants de médicaments, avec quelque 24 000 employés répartis dans une soixantaine de pays et un chiffre d’affaires ayant franchi l’an dernier le cap des 4,5 milliards de dollars américains.

Au Canada, Syneos Health possède des bureaux à Montréal et à Québec, où la société mène une centaine d’essais cliniques chaque année. L’entreprise compte environ 500 employés au Québec, dont 450 dans le parc industriel de la Vieille Capitale.

Une affiche sur laquelle on peut lire : « J'ai contribué à contrer les effets de l'hypertension » et « Faites partie de la solution. Participez à nos études cliniques. Recevez jusqu'à 4000 $. Syneos Health : Pour un futur en santé. »

Syneos Health est toujours à la recherche de volontaires, comme en fait foi cette publicité aperçue à la station Beaudry, sur la ligne verte du métro de Montréal.

Photo : Radio-Canada / Jérôme Labbé

Le consultant qui nous a informés de la situation assure qu’il n’a rien d’un pirate. Au contraire, il dit avoir découvert ces renseignements alors qu’il faisait des recherches pour un de ses clients afin d’identifier si des informations de nature sensibles pouvaient être exposées sur Internet sans mesures de protection adéquate.

En se tournant vers les médias pour étaler cette affaire au grand jour, ce spécialiste dit vouloir sensibiliser les entreprises à mieux protéger les données personnelles qui leur sont transmises… et à inciter le grand public à éviter de fournir des renseignements confidentiels sans que ce soit absolument nécessaire.

Cela dit, Laurent Desaulniers, de GoSecure, doute que les informations médicales recueillies par Syneos Health soient actuellement échangées à prix d’or sur le marché noir, dans la mesure où ce type de données ne se monétise pas très bien.

Même s’il reconnaît que ces informations sont particulièrement sensibles, les données médicales, assure-t-il, n’ont pas beaucoup de valeur sur le dark web. Il n’y a personne qui a l’air d’acheter ça.

Des sanctions possibles?

Depuis le 1er novembre 2018, les entreprises assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ont l’obligation de déclarer au commissaire à la protection de la vie privée du Canada toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.

Cette loi prévoit notamment que les entreprises ayant échoué à protéger adéquatement ces renseignements personnels doivent transmettre dès que possible un avis direct (courrier, courriel, etc.) ou indirect (un communiqué de presse, par exemple) aux intéressés.

Quiconque contrevient sciemment aux obligations en matière de déclaration, d’avis et de tenue de registre des atteintes aux mesures de sécurité prévues à la LPRPDE se rend coupable d’une infraction, et pourrait se voir imposer des amendes, rappelle le commissariat sur son site web. L’amende maximale fixée par la loi fédérale est de 100 000 $.

Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé a beaucoup moins de mordant. Bien que celle-ci doit être respectée par toutes les entreprises qui font des affaires au Québec, à l’heure actuelle, il n'est pas obligatoire pour les entreprises de dénoncer les incidents de sécurité à la Commission d'accès à l'information, explique sa porte-parole, Isabelle Gosselin.

En théorie, des amendes peuvent être imposées aux entreprises délinquantes, mais la Commission confirme que le cas de figure ne s’est jamais présenté.

Nous continuons notre investigation et, conformément à nos obligations, nous ferons tout ce qui est nécessaire afin d’informer les autorités réglementaires et les personnes dont les données sont concernées, a soutenu la porte-parole de Syneos Health dans la déclaration qu’elle nous a transmise mercredi. Nous prenons également des mesures pour comprendre comment l’incident a pu se produire et nous assurer qu’une telle situation ne se reproduise pas.

Avec la collaboration de Mélanie Meloche-Holubowski

Commentaires fermés

L’espace commentaires est fermé. Considérant la nature sensible ou légale de certains contenus, nous nous réservons le droit de désactiver les commentaires. Vous pouvez consulter nos conditions d’utilisation.

Cybersécurité

Justice et faits divers