Les données de 700.000 personnes testées pour le Covid rendues accessibles pendant des mois

Noms, prénoms, dates de naissance, adresses, numéros de téléphone et de Sécurité sociale… Les données personnelles de 700.000 personnes étaient accessibles à tous pendant des mois à cause d’une faille de sécurité sur la plateforme Francetest, une plateforme non agréée par les autorités qui transmet les données des pharmaciens au fichier SI-DEP, centralisant les résultats des tests Covid, a révélé Mediapart ce mardi. Selon le site d’information, ces données étaient visibles grâce à "un mot de passe trouvable, en clair, dans un dossier accessible à tous". Le fondateur de Francetest, Nathaniel Hayoun, a annoncé avoir "bloqué tous les accès" aux données ce week-end. "Avant l'arrivée du pass sanitaire, nous avions relativement peu de tests. Après, il y a eu une véritable explosion qui a été difficile à gérer." "J'ai dû mettre à jour le site sans avoir le temps nécessaire"¸ a-t-il expliqué à Mediapart. Autre défaillance découverte par le site : les données personnelles – que le dirigeant disait supprimer au bout de trois mois – remonteraient pour certaines au mois de mars. La plateforme ne disposerait par ailleurs pas de script, qui permet aux données de plus de six mois d’être effacées automatiquement. Informée par "un signalement anonyme", la Commission nationale...

de l'informatique et des libertés (CNIL), aurait lancé des investigations. La société Francetest a quant à elle annoncé à l’AFP avoir "requis l'assistance d'experts en cybersécurité" pour évaluer notamment la sécurité de ses serveurs. Par ailleurs, une information des pharmaciens et des patients concernés par la faille serait "en cours". "Il n’existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuitées", a-t-elle ajouté. Pour l’heure, une seule personne aurait signalé cette faille. Francetest a néanmoins assuré avoir "pris immédiatement les mesures techniques nécessaires" pour corriger la faille (mise à jour des pare-feux, modification des mots de passe, etc.) Expliquant que la plateforme gouvernementale SI-DEP n’est "pas très ergonomique", Philippe Besset, président de la Fédération des syndicats pharmaceutiques de France (FSPF) indique à l’AFP que de nombreux pharmaciens ont recours à des intermédiaires, à l’instar de Francetest, pour entrer les résultats des tests Covid-19 dans le logiciel. Francetest facturait un euro par transmission, selon Mediapart. La Direction générale de la Santé (DGS) a cependant alerté les pharmaciens via un mail, envoyé ce dimanche, sur les intermédiaires. Elle a rappelé les logiciels agréés et compatibles avec SI-DEP. Francetest n’en fait pas partie. "Nous avons absolument besoin que les autorités nous fournissent un outil permettant de transmettre les données au SI-DEP avec notre logiciel métier, qui est sûr et agréé", demande Philippe Besset. Selon lui, les logiciels agréés par les autorités ne sont eux aussi pas assez sécurisés. [avec AFP et Mediapart]