Covid-19 : une faille entraîne la fuite de 700 000 résultats de tests
Les noms, dates de naissance, adresses, numéros de téléphone et de sécurité sociale, de même que les résultats des tests antigéniques de plus de 700 000 personnes sont accessibles depuis plusieurs mois. Découverte par hasard et révélée par Médiapart ce mardi 31 août 2021, cette fuite massive provient d’une faille d’un site spécialisé dans le transfert de données de tests effectués en pharmacie vers la plateforme gouvernementale SI-DEP.
Comment la fuite de 700 000 résultats de tests a-t-elle pu se produire ?
La faille informatique révélée par Médiapart dans la journée d’hier n’est pas des moindres. En effet, plus de 700 000 résultats de tests antigéniques, ainsi que les informations personnelles des patients, étaient accessibles depuis des mois sur la plateforme Francetest. Concrètement, il suffisait de quelques clics et d’un « mot de passe trouvable, en clair, dans un dossier accessible à tous » pour consulter librement les données de milliers de personnes : nom, prénom, date de naissance, numéro de téléphone, adresses mail et postale, numéro de sécurité sociale et résultat du test Covid.
La société Francetest, fondée en janvier dernier, permet de transférer les résultats des tests antigéniques réalisés dans les pharmacies vers la plateforme gouvernementale SI-DEP. C’est sur cette dernière que les patients se rendent pour accéder aux résultats. Créée en urgence, SI-DEP n’est pas des plus ergonomique poussant ainsi nombre de pharmaciens à utiliser des plateformes intermédiaires comme Francetest, qui se charge de transférer les résultats. Or cette plateforme ne fait pas partie des logiciels agréés par la Direction générale de la santé (DGS) et compatibles avec SI-DEP, une homologation pourtant obligatoire. Selon le fondateur de Francetest, Nathaniel Hayoun, la demande d’agrément serait en cours de validation.
Contacté par Médiapart, Francetest a précisé que le problème de sécurité avait été résolu entre le 27 août et le 30 août, après avoir demandé à des professionnels de cybersécurité de s’en assurer. Mais la question que de nombreux Français se posent désormais est : des personnes malintentionnées ont-elles profité de la faille pour récolter ces milliers de données personnelles ? À ce sujet, la société a indiqué dans un communiqué relayé sur son site : « il n’existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuitées. À ce stade, nous considérons qu’il s’agit uniquement de l’avertissement d’une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance ».
La CNIL lance une enquête
Si pour l’heure les conséquences de l’incident demeurent inconnues, la CNIL (Commission nationale de l'informatique et des libertés) vient de lancer une enquête à la demande du gouvernement. Francetest s’est lui-même tourné vers le gendarme des données personnelles pour l’informer de la situation, comme l’exige le Règlement général sur la protection des données (RGPD).
Les investigations devraient permettre de déterminer si la fuite représente un réel risque pour les personnes concernées. Et si ce risque est avéré, Francetest devra immédiatement prévenir chacune d’entre elles.
Pour l’heure, la loi ne prévoit aucune sanction pour les logiciels qui, malgré l’obligation, ne possèdent pas d’agrément. Toutefois, la Direction générale de la santé (DGS) a tenu à rappeler aux pharmaciens la liste des plateformes homologuées en leur transmettant, dimanche 29 août, un document récapitulatif.
