Un réseau de prestataires de soins de droite gagne des millions grâce à l'hydroxychloroquine et à l'ivermectine | Micah Lee

America's Frontline Doctors, lancé à l'été 2020, a des liens étroits avec un réseau de droite déployant des efforts considérables pour saper les mesures de santé publique pendant la pandémie, notamment les Tea Party Patriots. La fondatrice d'AFLDS, la médecin Simone Gold, a été arrêtée et inculpée après l'attaque meurtrière du Capitole américain le 6 janvier.

par Micah Lee, directeur de la sécurité informatique de First Look Media. Il est ingénieur en sécurité informatique et développeur de logiciels libres. Il écrit sur des sujets techniques tels que la sécurité numérique, les outils de cryptage, la dénonciation et le piratage en utilisant un langage compréhensible par tous, sans pour autant l'édulcorer. Il développe des outils de sécurité et de protection de la vie privée tels que OnionShare, Dangerzone et Semiphemeral.

Un réseau de prestataires de soins a empoché des millions de dollars en vendant de l'hydroxychloroquine, de l'ivermectine et des consultations en ligne, selon des données piratées fournies à The Intercept. Les données montrent que de grosses sommes d'argent sont soutirées à des personnes inquiètes ou souffrant du Covid-19 mais réfractaires à la vaccination ou aux autres recommandations des autorités de santé publique.

America's Frontline Doctors, un groupe de droite fondé l'année dernière pour faire la promotion de médecins pro-Trump pendant la pandémie de coronavirus, travaille en tandem avec un petit réseau d'entreprises de santé pour semer la méfiance à l'égard du vaccin Covid-19, duper des dizaines de milliers de personnes pour les amener à chercher des traitements inefficaces contre la maladie, puis leur vendre des consultations et ces médicaments pour des millions de dollars. Les données indiquent que, tout cumulé, les patient·es ont dépensé au moins 15 millions de dollars - et potentiellement beaucoup plus - en consultations et médicaments combinés.

The Intercept a obtenu des centaines de milliers de dossiers de deux sociétés, CadenceHealth.us et Ravkoo, révélant le fonctionnement de cette lucrative opération. America's Frontline Doctors, ou AFLDS, diffuse depuis l'été 2020 de la désinformation très orientée politiquement à propos du Covid-19 et renvoie ses nombreux adeptes à son partenaire de télémédecine SpeakWithAnMD.com, qui utilise Cadence Health comme plateforme. Les personnes qui s'inscrivent paient ensuite 90 dollars pour une consultation téléphonique avec des "médecins formés par l'AFLDS" qui prescrivent des traitements tels que l'hydroxychloroquine et l'ivermectine pour prévenir et traiter le Covid-19. Les médicaments sont livrés par Ravkoo, un service qui travaille avec des pharmacies locales pour livrer les médicaments directement chez les patient·es. Tout cela bien sûr, c'est si les patient·es parviennent à décrocher une consultation ; nombre d’entre ell·eux ont déclaré au Time n’avoir jamais reçu d'appel après avoir payé.

Les données des sites Cadence Health et Ravkoo ont été fournies à The Intercept par un·e pirate anonyme qui a déclaré que les sites étaient "ridiculement faciles" à pirater, malgré des promesses de confidentialité auprès des patient·es. Ces informations ont été corroborées en les comparant à des informations publiquement disponibles. The Intercept ne publie aucune donnée individuelle sur les patient·es et a pris des mesures pour sécuriser les données. Après avoir été contacté par The Intercept, Roque Espinal-Valdez, de Cadence Health, a déclaré qu'il avait fermé la plateforme, ne voulant pas participer à l'exploitation de la "charlatanerie" qui entoure le Covid-19.

America's Frontline Doctors, lancé à l'été 2020, a des liens étroits avec un réseau de droite déployant des efforts considérables pour saper les mesures de santé publique pendant la pandémie, notamment les Tea Party Patriots. La fondatrice d'AFLDS, la médecin Simone Gold, a été arrêtée et inculpée après l'attaque meurtrière du Capitole américain le 6 janvier. Elle et d'autres médecins sont apparus dans des vidéos largement partagées sur internet soutenant que les médicaments hydroxychloroquine et ivermectine - qui sont principalement utilisés pour traiter respectivement le paludisme chez l'humain et les vers parasites chez le bétail - sont des traitements efficaces contre le Covid-19, malgré les avertissements de l'Organisation mondiale de la santé (OMS) et des Centers for Disease Control and Prevention (CDC) contre leur utilisation.

Ce groupe, AFDLS, situé politiquement, induit également les gens en erreur au sujet des vaccins Covid-19, qu'il qualifie d'"agents biologiques expérimentaux", et contre les mesures de santé publique telles que l'obligation vaccinale, le port du masque, la distanciation sociale et les restrictions imposées aux entreprises. Dans une vidéo intitulée "The Truth About Covid-19 Vaccines" (La vérité sur les vaccins Covid-19), qui a été visionnée plus de 1,3 million de fois, Gold affirme à tort que le Covid-19 n'est pas très mortel et que les vaccins sont plus dangereux que le virus lui-même. À ce jour, plus de 690 000 Américains sont morts du virus, et les personnes non vaccinées représentent désormais 99 % des décès récents dus au Covid-19.

"La désinformation peut être un levier très puissant pour escroquer les gens et les inciter à acheter des produits", a déclaré à The Intercept le Dr Kolina Koltai, qui fait des recherches sur la désinformation à propos des vaccins dans les communautés numériques au Center for an Informed Public de l'Université de Washington. "America's Frontline Doctors est capable de faire ça à une échelle massive".

Les données piratées comprennent des informations sur 281 000 patient·es enregistrées dans la base de données de Cadence Health entre le 16 juillet et le 12 septembre 2021, dont 90 % ont été envoyés par America's Frontline Doctors. Au cours de ces deux mois seulement, des patient·es ont payé des consultations pour un montant estimé à 6,7 millions de dollars. Les données incluent également les notes des consultations téléphoniques des patient·es, incluant parfois leurs antécédents médicaux et des informations sur leurs prescriptions.

Roque Espinal, PDG de Cadence Health, a déclaré à The Intercept qu'il n'était pas au courant du stratagème et que Cadence Health fournissait simplement une plateforme de télésanté pour SpeakWithAnMD.com, ses patient·es et ses médecins. "Je suis totalement sidéré. J'aurai dû chercher à savoir exactement qui étaient ces personnes", a-t-il déclaré. "Je suis entièrement vacciné. Mes enfants sont entièrement vaccinés. J'essaie de comprendre ce qui se passe en ce moment." Après s'être entretenu avec The Intercept lundi, Espinal a déclaré qu'il avait mis fin à son engagement avec SpeakWithAnMD. Il a ajouté : "Je ne veux pas être associé à ce genre de conneries. Ni à aucune de ces histoires de charlatans". La plateforme de télémédecine de SpeakWithAnMD, qui repose sur Cadence Health, est actuellement hors service.

"[SpeakWithAnMD] ne fait pas partie du mouvement anti-vax et nous ne nous opposons pas aux vaccinations", a déclaré à The Intercept Jim Flinn, agent de relations publiques travaillant pour la société mère du site, Encore Telemedicine.

"American Frontline Doctor's [sic] prend ces questions très au sérieux", a déclaré Thomas Gennaro, un avocat d'America's Frontline Doctors, à The Intercept dans un communiqué. "Pour AFLDS, les effets positifs de la relation patient-médecin et la confidentialité sont essentiels. Nous comprenons que ces informations aient été signalées au FBI, et AFLDS a lancé un audit par un tiers et répond à cette situation avec la plus grande attention."

Le pirate a également fourni les relevés de 340 000 ordonnances que Ravkoo a remplies entre le 3 novembre 2020 et le 11 septembre 2021 - ce qui représente un montant estimé à 8,5 millions de dollars en frais de médicaments. Quarante-six pour cent des ordonnances concernent l'hydroxychloroquine ou l'ivermectine, et 30 autres pour cent concernent le zinc ou l'azithromycine, deux autres médicaments inefficaces que les médecins de SpeakWithAnMD, que America's Frontline Doctors prétend formés, prescrivent dans leurs consultations Covid-19.

"Nous prenons les violations de données très au sérieux", a déclaré le PDG de Ravkoo, Alpesh Patel, à The Intercept. Patel affirme que Ravkoo a cessé de faire affaire avec SpeakWithAnMD et AFLDS à la fin du mois d'août parce que "le volume de demande là-bas a augmenté de façon folle, et nous ne nous sentions pas à l'aise. Et nous n'avons pas la capacité de fournir autant d'ordonnances". Les données piratées montrent qu'ils ont rempli des centaines d'ordonnances supplémentaires pour l'AFLDS dans les premières semaines de septembre. "Cela pourrait être des renouvellements ou des ordonnances qui sont restées bloquées et que nous avons dû remplir", a affirmé Patel.

L'OMS recommande de ne pas prendre d'hydroxychloroquine pour traiter le Covid-19, car elle est inefficace et peut avoir des effets secondaires néfastes. Les cardiologues avertissent que l'hydroxychloroquine prise avec l'azithromycine, une combinaison que l'ancien président Donald Trump a publiquement recommandée augmente le risque de battements cardiaques irréguliers dangereux qui pourraient être fatals. Les CDC ont déconseillé aux gens de prendre de l'ivermectine, affirmant qu'elle peut provoquer des "maladies graves". La Food and Drug Administration a émis des avertissements similaires et a tweeté : "Vous n'êtes pas un cheval. Vous n'êtes pas une vache. Sérieusement, vous tous. Arrêtez ça", avec un lien vers un article expliquant que la prise de ce produit contre le Covid-19 peut provoquer des problèmes de santé extrêmes.

Au moins un des prescripteurs sait que les experts médicaux recommandent de ne pas utiliser ces médicaments pour prévenir ou traiter le Covid-19 mais les a tout de même prescrits, si l'on se fie aux dossiers des patients. Un médecin a inclus cet avertissement dans ses notes de consultation avec plusieurs patients : "Je, [nom du médecin], ai une compréhension complète du récent communiqué de l'OMS, de la FDA, des CDC et des NIH du 5 mars 2021 concernant l'utilisation et la prescription de l'hydroxychloroquine et de l'ivermectine. Je comprends que ces deux médicaments ont été jugés "hautement déconseillés" par les organismes médicaux mentionnés ci-dessus, mais qu'il n'est pas illégal de les prescrire. ... J'ai expliqué que je ne serai pas tenu légalement ou médicalement responsable d'une réaction indésirable de ce patient s'il choisit de les prendre et j'ai expliqué qu'il ne pourra pas me tenir pour médicalement négligent, me poursuivre pour toute forme de faute professionnelle, ni engager des poursuites pénales et civiles [sic]. "

Depuis la semaine dernière, le formulaire d'admission du site affiche un avertissement similaire pour tous les patients. « En tant que patient potentiel, je reconnais et comprends que l'hydroxychloroquine (HCQ) et l'ivermectine ont été jugés "fortement déconseillés" par l'OMS, la FDA, les CDC et les NIH », indique l'avertissement. « Si un patient choisit de ne pas divulguer ses antécédents médicaux appropriés, le clinicien ne peut être tenu pour responsable et aucune licence médicale, dans quelque État que ce soit, ne peut être examinée ou tenue pour responsable. »Les patients doivent cocher une case indiquant « Je comprends » pour continuer.

"En facilitant la relation médecin/patient, nos médecins sont pleinement autorisés et opèrent dans le cadre des règles et règlements de la profession médicale", a déclaré Flinn, le porte-parole de la société mère de SpeakWithAnMD. "Si un télémédecin du programme Speak décide qu'un médicament approuvé par la FDA est approprié, alors le MD peut prescrire un médicament approuvé par la FDA en dehors des indications pour toute condition médicale que le télémédecin juge appropriée."

Des médecins "extrêmement pro-Trump"

Les fondements de America's Frontline Doctors ont été posées lors d'une visioconférence du 11 mai 2020 entre un haut responsable de la campagne de réélection de Trump et le groupe d'activistes républicains CNP Action. Ils auraient discuté de la recherche de médecins "extrêmement pro-Trump" pour aller à la télévision et défendre le plan de Trump visant à relancer rapidement l'économie malgré les consignes de sécurité plus précautionneuses émanant du CDC.

Puis, le 24 juin de l'année dernière, Gold a lancé une association à but non lucratif en Arizona appelée Free Speech Foundation, dotée d'un budget annuel d'un million de dollars et d'un parrainage fiscal de la Tea Party Patriots Foundation. America's Frontline Doctors, qui est un projet de cette organisation à but non lucratif, a été lancé le 27 juillet 2020. Gold, dont NPR a confirmé qu'elle est bien une médecin agréée en Californie, ainsi que d'autres médecins en blouse blanche, ont tenu une conférence de presse sur les marches du bâtiment de la Cour suprême où ils ont faussement affirmé qu'un cocktail d'hydroxychloroquine, d'azithromycine et de zinc pouvait "guérir" le Covid-19. Une autre médecin du groupe qui a pris la parole à l'extérieur du tribunal, Stella Immanuel, a déclaré que l'utilisation de masques n'était pas nécessaire et a rapidement acquis une notoriété virale lorsqu'il a été révélé qu'elle avait précédemment affirmé que l'endométriose, était causée par des rapports sexuels avec des démons qui ont lieu dans des rêves. L'événement a été diffusé en direct sur Breitbart, et les vidéos ont été visionnées des millions de fois sur les réseaux sociaux après avoir été partagées sur Twitter par Trump alors président , avant que les entreprises de la tech ne les retirent pour avoir violé les règles contre la désinformation sur la pandémie. Plus récemment, le groupe a fait la promotion de l'ivermectine comme remède miracle contre le Covid-19.

"[America's Frontline Doctors] sont très doués pour manipuler la science afin de faire croire que le vaccin n'est pas sûr, qu'il n'a pas été testé ou qu'il n'est pas nécessaire, c'est pourquoi ils ont été particulièrement influents depuis plus d'un an", a déclaré Koltai.

Mais ce n'est qu'au début de l'année 2021, alors que plus de 345 000 Américains étaient déjà morts de la pandémie, qu’ America's Frontline Doctors a commencé à faire de la publicité sur son site pour des consultations de télésanté à 90 dollars afin de bénéficier d'ordonnances pour des traitements alternatifs au Covid-19.

Le 3 janvier, Gold a déclaré devant l'auditoire d'une église bondée et sans masque à Tampa, en Floride, qu’America's Frontline Doctors avait mis « l'hydroxychloroquine à la disposition de toute la nation en allant sur notre site Web ». Une vidéo de la conférence, « La vérité sur le vaccin Covid-19 », a été visionnée 1,3 million de fois sur le site d'hébergement de vidéos Rumble après avoir été retirée de YouTube. « Ensuite, vous pouvez consulter un médecin de télémédecine. Et que vous ayez le Covid, ou que vous ne l'ayez pas, ou que vous soyez juste inquiet à l'idée d'avoir le Covid, vous pouvez vous procurer une ordonnance et ils vous l'envoient par la poste. » Elle ajoute : « Le grand combat n'est pas face au virus, il est face à la peur. »

Simultanément, America's Frontline Doctors a commencé à orienter ses abonnés vers des rendez-vous de télémédecine. Son site Web amène les clients potentiels à répondre à une série de questions préliminaires avant de les diriger vers SpeakWithAnMD.com. « Découvrez comment obtenir des médicaments sur ordonnance pour le COVID-19 avec nos médecins formés à l'AFLDS en trois étapes faciles », peut-on lire, avant un bouton « Get Medication » bien visible.

L'AFLDS touche son public par le biais de diverses plateformes de réseaux sociaux. Gold, la fondatrice du groupe, a plus de 340 000 followers sur Twitter, et elle publie régulièrement des contenus anti-vaccins, comme une vidéo du podcasteur Joe Rogan affirmant à tort que l'ivermectine et d'autres médicaments qui se sont avérés inefficaces pour traiter le Covid-19 l'ont guéri du virus.

Samedi, Gold a ouvert un compte sur Gab, un réseau social populaire auprès des extrémistes de droite, et elle compte déjà plus de 36 000 followers qui ont posté des milliers de commentaires sur sa page. La page Facebook de l'AFLDS compte 112 000 fans, sa chaîne Telegram a 184 000 abonnés et 28 000 personnes sont abonnées à la chaîne du groupe sur Rumble.

Leur propagande anti-vax apparaît également dans des newsletters religieuses, comme celle d'un groupe appelé Bridge Connection Ministries, qui contient une publicité pour l'AFLDS et demande : "Avez-vous été exposé au COVID par quelqu'un qui a récemment été VACCINÉ ?"

Cadence Health

Les deux mois de dossiers de patient·es auxquels The Intercept a eu accès montrent que l'AFLDS a orienté plus de 255 000 personnes vers des médecins afin d'obtenir des « traitements » du Covid-19. Parmi ces personnes, 72 000 ont payé 90 dollars pour des consultations téléphoniques, et beaucoup d'entre elles ont eu des consultations de suivi coûtant 59,99 dollars chacune. Les données piratées de Cadence Health n'incluent pas les données de paiement elles-mêmes, mais si l'on fait le calcul, sur cette seule période de deux mois, les patient·es pourraient avoir déboursé plus de 6,7 millions de dollars pour les seules consultations téléphoniques. Ces données n'incluent pas toutes les consultations téléphoniques à 90 dollars de janvier à juillet, lorsque SpeakWithAnMD hébergeait directement les formulaires d'inscription pour les consultations de télémédecine à 90 dollars, selon les versions archivées du site. Le site de télémédecine paraît facturer les patient·es directement et non leurs compagnies d'assurance.

Espinal affirme que Cadence Health ne percevait pas les paiements par carte de crédit et que les 90 dollars facturés pour la télésanté ont été transférés en utilisant le processeur de paiement de SpeakWithAnMD. Espinal a déclaré à The Intercept qu'il avait facturé à SpeakWithAnMD un total de 17 500 dollars pour l'utilisation de sa plateforme et que SpeakWithAnMD était son premier et seul client.

Après que The Intercept ait contacté les entreprises pour obtenir des commentaires lundi, la société mère de SpeakWithAnMD, Encore Telemedicine, a organisé une réunion d'urgence avec les avocat·es de l'AFLDS, selon Espinal, qui a brièvement assisté à la réunion via Zoom. « Il y avait 16 avocat·es différent·es », a-t-il déclaré à The Intercept, mais Gold n'était pas présente. Espinal, aurait dit aux avocat·es : « Je mets fin à mon contrat avec vous immédiatement », puis serait parti. Par la suite, il a désactivé le service de Cadence Health, empêchant SpeakWithAnMD de fonctionner.

Les données piratées de Cadence Health donnent un aperçu des patient·es ell·eux-mêmes. Sur les 72 000 patient·es de cette période de deux mois, 58 % étaient des femmes, 38 % des hommes et 4 % ont choisi de ne pas répondre à la question. Si des personnes de tous âges ont consulté les prestataires de santé de l'AFLDS, les quinquagénaires et les sexagénaires étaient plus susceptibles de s'y engager que les autres tranches d'âge. Selon les données fournies par les CDC, les patient·es atteint·es de Covid-19 âgé·es de 50 à 64 ans sont quatre fois plus susceptibles d'être hospitalisé·es et 30 fois plus susceptibles d’en mourir que les personnes âgées de 18 à 29 ans. Les patient·es atteint·es du Covid-19 âgé·es de 65 à 74 ans ont quand à ell·eux, cinq fois plus de chances d'être hospitalisé·es et 90 fois plus de chances d’en mourir.

Des personnes de tous les états du pays, ainsi que de Washington, D.C., ont cherché à obtenir des traitements du Covid-19 non-validés. 8 600 personnes en Californie ont payé 90 dollars pour des consultations de télésanté, tout comme 8 000 autres en Floride et 7 400 au Texas. Plus de 1 000 personnes dans chacun des 21 autres États ont consulté des prestataires de santé par le biais de ce service. Les seuls États qui comptaient moins de 100 patients étaient le Delaware et le Vermont. Houston, Las Vegas, Phoenix et Jacksonville comptaient tous plus de 300 patients.

Ravkoo

Ravkoo a délivré sa première ordonnance de l'AFLDS juste 10 jours après le discours de Gold « La Vérité à propos du Vaccin Covid-19», le 13 janvier, pour de l'hydroxychloroquine. Dans les données de l'ordonnance, « AMERICAS FRONT LINE DOCTORS - ENCORE » figure sous le champ "remarques".

Dans les données piratées, chacune des 340 000 ordonnances réalisées par Ravkoo entre le 3 novembre 2020 et le 11 septembre 2021 indique un montant. En additionnant les prix de chaque type de médicament, on constate que la pharmacie en ligne a apparemment facturé aux gens un total de 4,7 millions de dollars pour de l'ivermectine, 2,4 millions de dollars pour de l'azithromycine, 1,2 million de dollars pour de l'hydroxychloroquine, 175 000 dollars pour du zinc et 52 000 dollars pour de la vitamine C. Il semble que la grande majorité de ces médicaments aient été payés de leur poche par les client·es plutôt que par une assurance. Seuls 500 $ de ces ventes de médicaments ont été payés par les compagnies d'assurance. Patel a déclaré à The Intercept que Ravkoo ne prenait pas de commission sur les ventes des ordonnances et qu'il gérait une plateforme qui les livrait aux pharmacies locales - « comme Uber », a-t-il dit - mais il n'a pas répondu aux questions complémentaires sur le modèle économique de Ravkoo.

Le Better Business Bureau avertit qu'il existe des « alertes actives » concernant Ravkoo, et que la pharmacie a une étoile sur cinq. Les client·es décrivent la pharmacie comme ignorant les appels et les courriels concernant les prescriptions de médicaments Covid-19 de l'AFLDS.

Le 2 septembre, la pharmacie a répondu aux plaintes déposées auprès du Better Business Bureau en déclarant : « Nous ne sommes plus affiliés à l'AFLD ou à speakwithanmd.com. Nous travaillons activement à résoudre ce problème ». Pourtant, les données piratées comprennent 268 ordonnances qui mentionnent l'AFLDS entre le 2 et le 11 septembre, date à laquelle Ravkoo a été piraté.

Lorsqu'on lui demande pourquoi la grande majorité des ordonnances exécutées par Ravkoo semblent concerner des traitements Covid-19 non-approuvés, Patel explique : « Nous ne contrôlons pas qui nous envoie des commandes. Disons-le ainsi. Nous n'avons pas de contrats formels avec des entreprises particulières. Les patient·es peuvent nous envoyer n’importe quelles ordonances ». Ravkoo peut « trouver des pharmacies pour nos patient·es prêtes à fournir de l'ivermectine et l’ obtenir à moindre coût. Les patient·es se parlent donc entre ell·eux, et c'est ainsi que ce marché a pu – c’est ainsi qu’ America's Frontline a pu nous connaître et commencer à nous envoyer des commandes. »

Patel a également affirmé qu'il « a reçu une lettre de menace de l'un des médecins disant : « Hey, si vous ne respectez pas cette ordonnance, je vais vous poursuivre en justice ». Les pharmacien·nes sont donc mis·es dans une position très difficile ici ».

« Ridiculement facile » à pirater

« L'ensemble de l'espace en ligne et de la télémédecine est un peu comme le Far West en raison de la façon dont la pandémie a forcé tout le monde à composer immédiatement avec la télésanté », a déclaré à The Intercept Lee Tien, avocat principal à l'Electronic Frontier Foundation.

Les sites Web impliqués dans cette opération de télémédecine ont tous été créés pendant la pandémie pour tirer profit de ce Far West. Les enregistrements des certificats de transparence, qui indiquent quels certificats SSL ont été créés et quand, montrent que le domaine speakwithanmd.com a été créé en mars 2020, ravkoo.com en septembre 2020 et cadencehealth.us en février 2021.

Alors que la pandémie a popularisé la télésanté, « les patient·es devaient toujours se rendre à la pharmacie pour récupérer leur ordonnance, et c'est là que nous avons eu l'idée de créer une plateforme de livraison de prescriptions offrant une livraison gratuite le jour même dans tout le pays », a déclaré M. Patel en décrivant sa motivation pour la création de l'entreprise.

Lx pirate a déclaré à The Intercept que Cadence Health et Ravkoo étaient «  ridiculement faciles » à pirater. Les sites internets des deux entreprises ne disposaient pas de contrôles d'accès, l'une des erreurs les plus courantes en matière de sécurité des applications Web.

Selon lx pirate, le site internet de Cadence Health ne validait les entrées de l'utilisateur que du côté client, et non du côté serveur. Cela signifie que lorsqu'un·e utilisateur·ice accède au site de télémédecine de manière normale, en chargeant le site dans son navigateur, iel ne peut accéder qu'à ses propres données, mais s'iel écrit un autre programme qui tente d'accéder à d'autres données sur le serveur, ce dernier répondra avec ces données. Lx pirate a simplement demandé au serveur toutes les données de toustes les patient·es.

Le site internet de Cadence Health se décrit comme la « plateforme de soins virtuels la plus sécurisée et conforme aux normes PCI et HIPAA ». « Notre site web est encore en développement », a déclaré Espinal à The Intercept. « Nous n'avons même pas de contenu. Il n'était pas censé être en ligne. »

Le site web de Ravkoo avait un « panneau d'administration caché auquel chaque utilisateur·ice pouvait se connecter et voir toutes les données », selon le pirate. Grâce à ce panneau d'administration, le pirate a pu exfiltrer toutes les données de prescription de la pharmacie en ligne. La vulnérabilité du site Web de Ravkoo semble également avoir été corrigée, selon le pirate, qui a contacté The Intercept après vérification.

« Il est tout à fait possible que [les entreprises] aient violé l'HIPAA en ayant une sécurité aussi faible », a déclaré M. Tien. La loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act) est une loi fédérale qui exige des prestataires de santé qu'iels protègent les « informations sur la santé des patient·es » sensibles contre toute divulgation sans le consentement ou la connaissance du ou de la patient·e. La règle de sécurité actuelle définie par l'HIPAA exige des prestataires qu'iels « mettent en œuvre des politiques et des procédures techniques permettant uniquement aux personnes autorisées d'accéder aux informations de santé protégées électroniquement ».

L'HIPAA définit également une règle de notification des violations qui oblige les prestataires de santé à « notifier les personnes concernées à la suite de la découverte d'une violation » dans les deux mois suivant la découverte de la violation. Les fournisseur·euses doivent avertir individuellement les patient·es concerné·es par courrier de première classe ou par courriel, et s'iels ont des coordonnées périmées pour un nombre important de patient·es, iels sont tenu·es de publier un avis public sur leur site Web ou « dans les principaux médias imprimés ou radiodiffusés où les personnes concernées sont susceptibles de résider ». Si la violation a touché plus de 500 personnes, comme c'est le cas pour Cadence Health et Ravkoo, iels sont également tenus de « fournir un avis aux principaux médias » desservant les juridictions résidentielles des patient·es.

Si les règles de l'HIPAA ont été assouplies pendant la pandémie pour tenir compte de la télémédecine, les prestataires de santé sont toujours tenu·es de protéger les informations sensibles sur la santé des patient·es qu'iels recueillent.

Les entreprises se sont montrées du doigt les unes les autres. Espinal, PDG de Cadence Health, a déclaré à The Intercept que la base de données des patient·es est hébergée dans le compte Amazon Web Services d'Encore Telemedicine et que sa société n'a pas accès à ces données. Flinn, l'agent de relations publiques travaillant pour Encore, insiste sur le fait que la base de données se trouve dans le compte AWS de Cadence, et non dans celui d'Encore.

« Suivre l'argent est une chose vraiment importante », conclu Koltai, du Center for an Informed Public.

Publication originale (28/09/2021) :
The Intercept