700.000 résultats de tests antigéniques et des données personnelles des patients ont été disponibles en accès libre pendant des mois. © pdusit, Adobe Stock
Tech

Tests Covid-19 : une faille énorme dans la gestion des données personnelles

ActualitéClassé sous :cybersécurité , Coronavirus , Test antigénique

Les résultats des tests antigéniques ainsi que les données personnelles et médicales de 700.000 Français ont été accessibles durant des mois librement. Une carence de sécurité due à une plateforme de transmission des données vers le SI-Dep qui centralise les résultats.

Cela vous intéressera aussi

[EN VIDÉO] Cyberespionnage : quelles sont les menaces ?  Ingérence dans les élections, vol de données industrielles, piratage de systèmes militaires… Le cyberespionnage a connu une envolée ces deux dernières décennies. 

Voici une affaire qui en rappelle bien d'autres... S'agit-il encore une fois de négligence, de précipitation ? En tout cas, plus de 700.000 résultats de tests Covid-19, ainsi que les identités, date de naissance, numéro de sécurité sociale, adresses mail et postale, téléphone des patients concernés ont été livrés sans protection sur des serveurs durant des mois. Le maillon faible, c'est un intermédiaire appelé Francetest. Il s'agit d'une plateforme de transfert des données provenant des pharmaciens, vers le Système d'Informations de Dépistage (SI-Dep). C'est ce dernier qui vient centraliser l'ensemble des résultats des tests. Cette découverte est le fruit du hasard, car c'est une patiente qui a soulevé le lièvre en souhaitant récupérer son résultat de test. En observant le lien fourni et en modifiant l'URL, elle a découvert qu'elle pouvait accéder directement à l'ensemble des résultats enregistrés.

À la suite de cette découverte, Médiapart a mené l'enquête et interrogé Francetest pour en savoir plus sur les causes de cette brèche énorme. Le responsable de la plateforme a avoué que ses équipes n'ont pas réalisé les mises à jour de sécurité nécessaires pour garantir la sécurité des données. Il justifie cette carence en raison de la montée en charge des tests depuis l'instauration du pass sanitaire. Mais ce n'est pas tout puisque, selon Mediapart, le site n'a jamais été homologué par le ministère de la Santé et il souffre d'autres vulnérabilités.

Est-ce que ces données ont déjà été collectées par des pirates ?

Depuis la mise en évidence de cette vulnérabilité, Francetest aurait verrouillé tous les accès à ces données. La plateforme cherche également à savoir si les informations ont pu être collectées durant la période où elles n'étaient pas protégées. Pour cela, la société aurait embauché des spécialistes en cybersécurité.

Cette faille en rappelle une autre tout aussi massive. Elle concernait le vol de données personnelles et médicales de près d'un demi-million de personnes en février dernier. Librement accessibles sur un forum du dark web, les données provenaient d'une trentaine de laboratoires de biologie médicale. Là encore, la base de données souffrait d'importantes failles.

Outre ces brèches béantes dans des systèmes de données confidentielles liées à la santé, l'autre souci est que, pour le moment, aucune sanction n'a encore été mise en place par les autorités pour forcer la main de ces plateformes afin de garantir leur sécurisation.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !