Les résultats des tests antigéniques ainsi que les données personnelles et médicales de 700.000 Français ont été accessibles durant des mois librement. Une carence de sécurité due à une plateforme de transmission des données vers le SI-Dep qui centralise les résultats.


au sommaire


    Voici une affaire qui en rappelle bien d'autres... S'agit-il encore une fois de négligence, de précipitation ? En tout cas, plus de 700.000 résultats de tests Covid-19tests Covid-19, ainsi que les identités, date de naissance, numéro de sécurité sociale, adresses mail et postale, téléphone des patients concernés ont été livrés sans protection sur des serveurs durant des mois. Le maillon faible, c'est un intermédiaire appelé Francetest. Il s'agit d'une plateforme de transfert des données provenant des pharmacienspharmaciens, vers le Système d'Informations de Dépistage (SI-Dep). C'est ce dernier qui vient centraliser l'ensemble des résultats des tests. Cette découverte est le fruit du hasard, car c'est une patiente qui a soulevé le lièvre en souhaitant récupérer son résultat de test. En observant le lien fourni et en modifiant l'URL, elle a découvert qu'elle pouvait accéder directement à l'ensemble des résultats enregistrés.

    À la suite de cette découverte, Médiapart a mené l'enquête et interrogé Francetest pour en savoir plus sur les causes de cette brèche énorme. Le responsable de la plateforme a avoué que ses équipes n'ont pas réalisé les mises à jour de sécurité nécessaires pour garantir la sécurité des données. Il justifie cette carencecarence en raison de la montée en charge des tests depuis l'instauration du pass sanitaire. Mais ce n'est pas tout puisque, selon Mediapart, le site n'a jamais été homologué par le ministère de la Santé et il souffre d'autres vulnérabilités.

    Est-ce que ces données ont déjà été collectées par des pirates ?

    Depuis la mise en évidence de cette vulnérabilité, Francetest aurait verrouillé tous les accès à ces données. La plateforme cherche également à savoir si les informations ont pu être collectées durant la période où elles n'étaient pas protégées. Pour cela, la société aurait embauché des spécialistes en cybersécurité.

    Cette faille en rappelle une autre tout aussi massive. Elle concernait le vol de données personnelles et médicales de près d'un demi-million de personnes en février dernier. Librement accessibles sur un forum du dark web, les données provenaient d'une trentaine de laboratoires de biologie médicale. Là encore, la base de données souffrait d'importantes failles.

    Outre ces brèches béantes dans des systèmes de données confidentielles liées à la santé, l'autre souci est que, pour le moment, aucune sanction n'a encore été mise en place par les autorités pour forcer la main de ces plateformes afin de garantir leur sécurisation.