Si vous avez effectué des tests antigéniques Covid-19 en France et que vous n’adhérez pas au principe du « ;je n’ai rien à cacher ;», alors vous avez de quoi être inquiets. Depuis quelques jours, des failles béantes détectées sur le site Francetest ont permis de révéler que les résultats de plus de 700 ;000 personnes étaient accessibles à n’importe quel internaute sur la toile depuis plusieurs mois jusqu’à récemment. Que ce soit les nom, prénom, date de naissance, numéro de Sécurité sociale, adresse mail, numéro de téléphone, etc., et résultats de tests Covid, toutes ces informations pouvaient être accessibles en quelques clics sur le site de Francetest.Retour sur les faits qui ont mené à la découverte des données exposées en ligne
Cette heureuse découverte, on la doit à un utilisateur qui, après avoir effectué un test antigénique Covid-19 auprès d’une pharmacie liée au sous-traitant Francetest, est allé consulter le résultat de son test en ligne en utilisant le lien qui lui a été transmis par le pharmacien. En cliquant sur le lien qui lui a été fourni, l’utilisateur a été redirigé vers une adresse web de Francetest contenant une chaîne de caractères correspondant à première vue à des identifiants. En observant l'adresse, l'utilisateur a réalisé qu’il s’agissait d’un site conçu avec le système de gestion de contenu WordPress. Nous précisons au passage que l’utilisateur s’attendait à avoir affaire à un site web du gouvernement. Mais force est de constater qu’il n’en était rien.
En modifiant l’URL, l’utilisateur est parvenu à remonter à un répertoire contenant des identifiants permettant d’avoir accès à l’ensemble de la base de données du site. En utilisant ces identifiants, il a eu accès à plus de 700 ;000 résultats de tests Covid-19 liés aux nom, prénom, sexe, date de naissance, adresse mail, numéro de Sécurité sociale, etc., des utilisateurs. Au-delà des failles à répétition découverte dans le système de gestion de contenu WordPress, c’est le lieu de souligner que le développeur de Francetest a littéralement conçu ce site comme s’il devait partager des informations publiques.
En plus des résultats de tests Covid-19 qui étaient accessibles en clair, l’utilisateur a également constaté qu’il était possible de créer un compte sans être un professionnel habilité à faire des tests Covid, et cela, en saisissant simplement n’importe quel numéro dans le champ réservé à la saisie des numéros professionnels. En outre, en fouillant un peu plus, l’utilisateur a détecté que certaines données personnelles étaient sauvegardées automatiquement chaque jour en clair sur le compte personnel de Nathaniel Hayoun, le fondateur de Francetest.
Réponse de Francetest à la suite de l’incident
À la suite de cet incident, Francetest a publié le communiqué ci-dessous :
« ;Vendredi 27 août, Francetest a été alerté de la présence d’une faille de sécurité sur ses serveurs, ce à quoi l’entreprise y a remédié immédiatement. Francetest entend apporter les précisions suivantes, consécutivement à la publication d’un certain nombre d’articles de presse qui ont rapporté des informations inexactes :
Il n’existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuité. À ce stade, nous considérons qu’il s’agit uniquement de l’avertissement d’une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance.
Aucune sauvegarde de données de patients n’a été stockée sur le service Google Cloud. Seul un backup de données de l’application était effectué quotidiennement.
Francetest, après avoir appréhendé l’existence de cette faille, a pris immédiatement les mesures techniques nécessaires pour la corriger, et plus généralement, a pris un certain nombre de mesures destinées à renforcer la sécurité de notre service : réinitialisation de tous les mots de passe, vérification de la mise à jour des pare-feux, etc. – Francetest, avec l’assistance d’experts en cybersécurité, a fait et fait toujours actuellement, réaliser des tests de pénétration sur ses serveurs.
À ce jour et à cette heure, Francetest a tout lieu de considérer que cet incident est techniquement clôturé. Enfin, sur le plan juridique et éthique, toutes mesures conservatoires ont également été prises : notification à la CNIL, information en cours des pharmaciens et des patients concernés ;».
Les Français devraient-ils être inquiets ;?
Au regard de la gestion approximative des données sanitaires des résidents français et surtout face au rôle de surveillance que le gouvernement français n’a pas assuré dans la collecte et le transfert des données vers son système SI-DEP (plateforme gouvernementale où sont systématiquement enregistrés les résultats des laboratoires de tests Covid-19), des inquiétudes se soulèvent auprès des personnes ayant effectué les tests antigéniques Covid-19. Pour rassurer les utilisateurs, le gouvernement a publié le 26 août dernier une liste actualisée des logiciels compatibles avec le SI-DEP pour le transfert des tests antigéniques uniquement. Sont autorisés à transférer les données vers le SI-DEP, les logiciels suivants : éOS (Fédération Française de Sauvetage et de Secourisme), Ordoclic (Ordoclik ;»), Pharmacovid (Pharmasoft SAS), Fastcovid (SIL-LAB), Bimedoc (Bimedoc), Magenet (MagentineHealthcare), Izymeet (ITEKCOM), Libheros (Lib-heros SAS), RDV by QuizCoach (Quiz Coach) et VALWIN Pharma (VALWIN).
En se basant sur la liste publiée par la Direction générale de la santé (DGS), Francetest est clairement en situation d’illégalité. Cependant, l’entreprise créée en janvier envoie des données vers le SI-DEP depuis le mois de mars en toute impunité. Dans sa publication, la DGS déclare que « ;Le recours à tout logiciel ne figurant pas sur cette liste doit être proscrit ;». Mais le problème est qu’une chose est de déclarer et une autre est de veiller à ce que cette liste soit respectée. Ne serait-il pas mieux de mettre des balises en veillant à ce que les logiciels qui se connectent au SI-DEP soient seulement ceux figurant dans cette liste ;? La décision revient au gouvernement français.
Comment cet incident a pu se produire malgré certaines balises mises en place pour l’éviter ;?
Techniquement, certaines dispositions permettent de limiter l’usage de n’importe quel logiciel pour envoyer des données vers le SI-DEP. Toutefois, ces dispositions ont été contournées par Francetest. En effet, pour envoyer des données vers le SI-DEP, il faut disposer d’une autorisation. Sachant cela, Nathaniel Hayoun, qui facture le transfert de chaque formulaire à un euro, aurait utilisé les identifiants professionnels de ses clients pour se connecter au SI-DEP et envoyer les données. Cela signifie qu’en plus du gouvernement et du sous-traitant qui ont été défaillants dans cette affaire, le pharmacien qui donne ses identifiants est également fautif. Est-ce pour alléger la facture que ce dernier a agi ainsi ;?
Une autre disposition qui pourrait convaincre les pharmaciens et les autres corps de métier chargés de superviser les tests antigéniques — ainsi que les sous-traitants chargés de manipuler les données personnelles — de ne pas prendre à la légère la protection des données personnelles des patients serait d’ajouter des sanctions lors de constat de négligence. Mais à ce niveau, le gouvernement et les législateurs sont encore à la traîne. Le décret du 12 mai 2020 relatif à l’envoi des données vers le SI-DEP ne propose aucune sanction en cas de manquement lors de l’envoi des données vers le SI-DEP. Pour rassurer le public, le gouvernement français déclare qu'il travaille à corriger ce problème en envisageant d'ajouter des sanctions pour les contrevenants au traitement des données envoyées au SI-DEP. Mais en attendant, les résidents français devront juste croiser les doigts en espérant qu’une fuite de données encore plus importante ne paraisse pas au grand jour.
Source : France 24, Enregistrement des résultats SI-DEP, Communiqué de Francetest, Décret relatif au traitement SI-DEP
Et vous ?
Que vous suggère cette exposition des données sanitaires des résidents français sur la toile ;? Êtes-vous inquiets pour la confidentialité de données sanitaires ;? Selon vous, quelles solutions le gouvernement français devrait-il mettre en place pour éviter ce genre d’incident ;?Voir aussi
France : le gouvernement met en place la surveillance des réseaux sociaux par le fisc,visant à collecter automatiquement certaines données, afin de repérer d'éventuels fraudeurs 533 millions de numéros de téléphone et de données personnelles d'utilisateurs de Facebook ont été divulgués en ligne, 20 millions appartiennent à des utilisateurs en France Des pirates informatiques ont divulgué en ligne des données volées sur le vaccin covid-19 de Pfizer, a annoncé l'Agence européenne des médicaments Une base de données de 22 Go contenant 56 millions de données personnelles sur des personnes vivant aux États-Unis a été exposée en ligne sur un serveur exploitant une adresse IP chinoise Un milliard d'images médicales sont exposées en ligne, car de nombreux cabinets médicaux ne tiennent pas compte des meilleures pratiques en matière de sécurité 
Envoyé par SQLpro
