D’après des informations de Mediapart relayées par le Figaro, une faille dans un site informatique aurait rendu accessible les données personnelles et les résultats de tests Covid de plusieurs milliers de personnes. Habituellement, les pharmaciens transmettent ces résultats via la plateforme sécurisée SI-DEP; mais celle-ci, mise en place dans l’urgence en fin d’année dernière, souffre apparemment de nombreux défauts.
Une difficulté d’utilisation qui a conduit certains établissements à solliciter des services tiers pour transmettre leurs résultats sur cette plateforme; c’est le cas de Francetest, qui présentait une faille permettant de récupérer les noms, prénoms, dates de naissance, adresses, numéros de sécurité sociale, adresse e-mail et résultats de test. D’après les informations de Mediapart, il suffisait “d’un mot de passe trouvable en clair dans un dossier à tous” pour y récupérer les données d’environ 700.000 personnes. Ces informations auraient été disponibles plusieurs mois avant que la faille ne soit identifiée.
Un business parallèle à un euro le test
Le site d’investigation explique aussi que le site exigeait une commission d’un euro par résultat transmis; une situation incompréhensible, dans la mesure où Francetest ne serait apparemment même pas agréé par la Direction générale de la santé. Philippe Besset, Président de la Fédération des syndicats pharmaceutiques de France, explique pourtant que les problèmes potentiels liés à ces intermédiaires étaient déjà connus; à tel point que la DGS a dû faire une mise au point, et rappeler les logiciels agréés et compatibles, dont Francetest ne fait pas partie.
“Ca fait des semaines et des semaines que nous alertons les autorités sur ces sociétés qui se présentent comme labellisées”, explique-t-il. “Nous avons absolument besoin que les autorités nous fournissent un outil permettant de transmettre les données au SI-DEP avec notre logiciel métier, qui est sûr et agréé “, conclut le pharmacien.
Francetest se veut rassurant
Sur son site, Francetest explique avoir été alertée de cette faille le vendredi 27 août et y avoir remédié “immédiatement“. La firme aurait pris les “mesures techniques nécessaires“, et mis en place “un certain nombre de mesures destinées à renforcer la sécurité de son service“. Elle se serait également attaché les services d’experts en cybersécurité afin de réaliser des tests de pénétration sur ses serveurs, pour s’assurer qu’ils soient bien hermétiques.
La firme réfute toutefois certaines informations de Mediapart, et déclare qu’il n’y a “aucun élément qui permet de penser que des informations personnelles aient effectivement fuité“… mais indique tout de même avoir notifié la CNIL, ainsi que les “pharmaciens et patients concernés“. A l’heure actuelle, la situation serait donc rétablie; au pied du communiqué, on peut lire que Francetest “a tout lieu de considérer que cet incident est techniquement clôturé“.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Ben voyons, mon colon !
Appel d’offre de l’état
“Bonjour, il nous faut en urgence un site web avec BDD compliqué pour les clients, inaccessible aux heures de pointe pour 100€ pas plus.
Merci !…..”
Ce qui me sidère, c’est, comment une entreprise meme pas autoriseé a pu decidé de son propre chef, sans qu’on lui donne l’autorisation directe, de transmettre des infos dans ce fichier ultra sensible… et ne rencontrer aucune resistance ?! elle avait juste accès au fichier comme ça, par magie ? si demain le tartempion du village avec un peu de connaissance informatique décide d’alimenté ce fichier, quest ce qui l’en empeche dans ce cas ?