Mediapart a révélé, mardi 31 août, la fuite de 700 000 résultats de tests antigéniques réalisés en France. Une de leurs sources a découvert plusieurs bugs sur le site appelé Francetest, qui permettaient d’accéder aux données personnelles renseignées par les personnes testées : nom, prénom, genre, date de naissance, numéro de Sécurité sociale, adresse mail, numéro de téléphone et adresse postale. Ce lot était couronné par le résultat du test antigénique du patient.
Francetest, créé en juin 2021, vend un service unique. Il propose aux pharmacies de transférer les données de patients vers le fichier SI-DEP, géré par le ministère de la Santé. Ce dernier appose une certification sur le dépistage et le met à disposition de la personne testée. Concrètement, la pharmacie s’appuie sur Francetest pour numériser le formulaire de test, envoyer les emails aux patients pour les prévenir de la publication des résultats, et gérer les envois vers SI-DEP.
Mediapart rapporte que même si l’entreprise est toujours en attente de sa demande d’habilitation officielle, elle a pu effectuer ce rôle d’intermédiaire entre plusieurs centaines de pharmacies et la plateforme du gouvernement sans être inquiétée. Pour verser les données sur SI-DEP, Francetest demande aux pharmacies de renseigner leur identifiant e-CPS (un dispositif d’authentification réservé aux professionnels de santé). Autrement dit, il effectue le transfert sous l’apparence de la pharmacie.
Francetest a indiqué au média d’investigation qu’il avait résolu les problèmes de sécurité entre le 27 août et le 30 août et qu’il avait pris contact avec des professionnels de cybersécurité pour s’assurer que l’incident était clos. Pour l’instant, aucune preuve n’indique que les données aient pu être récupérées par d’autres personnes.
Comment évaluer la dangerosité de la fuite ?
Pour évaluer la dangerosité d’une faille de données, trois critères entrent en compte :
- Combien de personnes ont eu accès à la fuite ?
La fuite pourrait avoir un impact nul sur les patients dans le cas où personne d’autre que la source de Mediapart n’a découvert le bug. Dans sa recherche, la personne a notamment récupéré les identifiants à la base de données de l’entreprise. En théorie, les enquêteurs vont pouvoir analyser les logs [un historique technique, ndlr] du serveur qui héberge la base à la recherche de connexions suspectes. Mais faut-il encore qu’un système d’enregistrement des logs ait été mis en place.
- De quelle qualité sont les données ?
Plus que le volume, c’est la qualité des données qui donne de la valeur à une fuite. Et justement, la fuite de Francetest présente de nombreux atouts pour d’éventuels malfrats. D’abord, elle contient un nombre important de données différentes sur une même personne. Les malfaiteurs pourront ainsi créer des messages de phishing plus convaincants : les victimes ont tendance à moins se méfier quand leur interlocuteur leur présente des informations sur elles. Par exemple, il serait facile de créer un faux message de résultats de test antigénique, sauf qu’au lieu de télécharger le certificat, la victime téléchargerait un malware.
Ensuite, parmi les données affectées se trouve le numéro de sécurité sociale. Il sert notamment à se connecter (couplé à un mot de passe) à France Connect, le portail gouvernemental pour accéder de nombreux services de l’administration. Parmi ces services se trouve le compte formation, régulièrement visé par les escrocs qui veulent détourner l’argent qui y est épargné.
- Quelle quantité de données contient la fuite ?
Le volume de données fait augmenter proportionnellement la valeur d’une fuite de données, lorsque la qualité est au rendez-vous. Dans notre cas, les 700 000 formulaires représentent un nombre suffisamment important pour être remarqué sur des marchés noirs, si tant est qu’un revendeur ait récupéré la base avant la correction des failles.
- Faut-il s’inquiéter plus largement ?
Il y a une autre dimension à cette affaire, qui est plus globale : il est, sur le papier, inquiétant de se dire qu’une petite entreprise française ait pu manipuler des données si sensibles, et que le processus et sa sécurité ne soient pas mieux encadrés. Si l’article de Médiapart souligne que la Direction générale de la santé (DGS) a émis un rappel ferme aux pharmacies, de ne traiter qu’avec des entreprises homologuées, il n’y a pas, dans la loi, de sanction prévue contre celles qui ne sont pas homologuées.
Comment savoir si je fais partie de la fuite ?
Le règlement général sur la protection des données, plus connu sous son acronyme RGPD, contraint les responsables de traitement de données comme Francetest à certaines obligations. D’abord, l’entreprise doit notifier l’incident à la Commission nationale de l’informatique et des libertés (Cnil) dans les 72h après la prise de connaissance de la fuite. Cette dernière peut communiquer dessus si elle le pense nécessaire.
Ensuite, si la fuite représente « un risque élevé » pour les personnes affectées, l’entreprise devra également prévenir chacune d’entre elles individuellement. Dans ce cadre, vous seriez contactés le cas échéant.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.