Bonjour,
suite à l’investigation de interhop sur doctolib, mettant à jour que les données de santé collectée peuvent être lues par Amazon, je m’intéresse aux prestataires intervenant dans la prise de rdv pour la vaccination.
Le site https://vitemadose.covidtracker.fr collecte les données ouvertes de disponibilités des rdv pour trouver un centre. Toutefois, plus de 80% passent par doctolib. Je cherche des informations sur le niveau de confiance qu’on peut accorder aux autres intermédiaires, keldoc, maiia, ordoclic, etc. concernant les données collectées, leur traitement et leurs sous-traitants.
J’ai fait une petite recherche avec firefox en désactivant l’antipub de Firefox (puisque c’ets pa sune fonctionnalité par défaut sur les autres navigateurs) et mes modules:
Pour keldoc, il y a mapbox le fournisseur de carte qui sait si le user cherche un rendez-vous médical puisqu’il reçoit en referer l’adresse du site, sinon ça semble propre côté navigateur.
A voir évidement ce qu’il peut se passer côté serveur…
Pour maiia, il y a notamment ce genre d’url envoyée via les données de la requête à px.ads.linkedin.com :
Position précise + type de praticien (presque la même erreur que doctolib à l’époque (et peut être encore faudrait réaudité))
Stripe, google, typekit.net, osm.org font sont au courant qu’on est sur maiia , ce qui peut permettre de savoir qu’on est en train de prendre un rendez-vous chez le médecin, selon la fréquence, ça donne des indications aussi.
la position des tuiles pour osm (forcément)
Pour stripe il y a des requêtes qui me semblaient en base64 dans le navigateur (par dessus TLS) mais ça semble plus compliqué à lire, va savoir ce qu’il y a comme données dedans ?
Pour ordoclic il faut un compte, mais dés la première page il y a google analytics/doubleclick et j’ai pu vérifier que les url sont bien envoyée, il reste possible que ce soit configuré différemment à l’intérieur (mais on peut en douter sérieusement). Il y a donc des chances non nulles qu’il y ait le même soucis qu’avec maiia.
Ceci se base sur les siteweb et pas sur les applis mobiles peut être que exodus les a analysé.
Au passage, et vraiment sans vouloir faire de mauvais esprit, le site https://vitemadose.covidtracker.fr/ utilise des traceurs très indélicats (Google, Cloudflare…) et ce sans prévenir les usagers. Pas de réponse de leur part à mes demandes. Ça pourrait faire le sujet d’une investigation également…
Toutefois, cette approche se limite à identifier les services directement au contact du navigateur (c’est la seule chose qu’on peut voir), mais on ne sait pas si le service passe par des sous-traitants, comme héberger les données chez M$ par exemple.
En même temps, cette approche prouve que c’est déjà mauvais pour doctolib, maiia et ordoclic…
Et vu les problèmes ça suffit pour dire que ces boites ne s’en préoccupent vraiment pas assez.
Lire les CGU, la politique de confidentialité, le type d’hébergeur (et constater les écarts avec la réalité). S’inscrire avec des options identifiables (du genre adresse mail/adresses dédiées) pour voir si il y a des fuites. Utiliser un proxy pour analyser le trafic des apps (en gros faire du mitm)?
