Si vous avez effectué des tests antigéniques Covid-19 en France et que vous n’adhérez pas au principe du « je n’ai rien à cacher », alors vous avez de quoi être inquiets. Depuis quelques jours, des failles béantes détectées sur le site Francetest ont permis de révéler que les résultats de plus de 700 000 personnes étaient accessibles à n’importe quel internaute sur la toile depuis plusieurs mois jusqu’à récemment. Que ce soit les nom, prénom, date de naissance, numéro de Sécurité sociale, adresse mail, numéro de téléphone, etc., et résultats de tests Covid, toutes ces informations pouvaient être accessibles en quelques clics sur le site de Francetest.Retour sur les faits qui ont mené à la découverte des données exposées en ligne
Cette heureuse découverte, on la doit à un utilisateur qui, après avoir effectué un test antigénique Covid-19 auprès d’une pharmacie liée au sous-traitant Francetest, est allé consulter le résultat de son test en ligne en utilisant le lien qui lui a été transmis par le pharmacien. En cliquant sur le lien qui lui a été fourni, l’utilisateur a été redirigé vers une adresse web de Francetest contenant une chaîne de caractères correspondant à première vue à des identifiants. En observant l'adresse, l'utilisateur a réalisé qu’il s’agissait d’un site conçu avec le système de gestion de contenu WordPress. Nous précisons au passage que l’utilisateur s’attendait à avoir affaire à un site web du gouvernement. Mais force est de constater qu’il n’en était rien.
En modifiant l’URL, l’utilisateur est parvenu à remonter à un répertoire contenant des identifiants permettant d’avoir accès à l’ensemble de la base de données du site. En utilisant ces identifiants, il a eu accès à plus de 700 000 résultats de tests Covid-19 liés aux nom, prénom, sexe, date de naissance, adresse mail, numéro de Sécurité sociale, etc., des utilisateurs. Au-delà des failles à répétition découverte dans le système de gestion de contenu WordPress, c’est le lieu de souligner que le développeur de Francetest a littéralement conçu ce site comme s’il devait partager des informations publiques.
En plus des résultats de tests Covid-19 qui étaient accessibles en clair, l’utilisateur a également constaté qu’il était possible de créer un compte sans être un professionnel habilité à faire des tests Covid, et cela, en saisissant simplement n’importe quel numéro dans le champ réservé à la saisie des numéros professionnels. En outre, en fouillant un peu plus, l’utilisateur a détecté que certaines données personnelles étaient sauvegardées automatiquement chaque jour en clair sur le compte personnel de Nathaniel Hayoun, le fondateur de Francetest.
Réponse de Francetest à la suite de l’incident
À la suite de cet incident, Francetest a publié le communiqué ci-dessous :
« Vendredi 27 août, Francetest a été alerté de la présence d’une faille de sécurité sur ses serveurs, ce à quoi l’entreprise y a remédié immédiatement. Francetest entend apporter les précisions suivantes, consécutivement à la publication d’un certain nombre d’articles de presse qui ont rapporté des informations inexactes :
Il n’existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuité. À ce stade, nous considérons qu’il s’agit uniquement de l’avertissement d’une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance.
Aucune sauvegarde de données de patients n’a été stockée sur le service Google Cloud. Seul un backup de données de l’application était effectué quotidiennement.
Francetest, après avoir appréhendé l’existence de cette faille, a pris immédiatement les mesures techniques nécessaires pour la corriger, et plus généralement, a pris un certain nombre de mesures destinées à renforcer la sécurité de notre service : réinitialisation de tous les mots de passe, vérification de la mise à jour des pare-feux, etc. – Francetest, avec l’assistance d’experts en cybersécurité, a fait et fait toujours actuellement, réaliser des tests de pénétration sur ses serveurs.
À ce jour et à cette heure, Francetest a tout lieu de considérer que cet incident est techniquement clôturé. Enfin, sur le plan juridique et éthique, toutes mesures conservatoires ont également été prises :...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par SQLpro
Que vous suggère cette exposition des données sanitaires des résidents français sur la toile ?
