700 000 résultats de tests Covid français exposés dans une base de données non sécurisée

Une base de données contenant 700 000 résultats de tests Covid accompagnés des données personnelles des patients a été découverte par Mediapart. Ces informations très sensibles auraient été librement accessibles durant plusieurs mois en raison d'une faille de sécurité sur la plateforme Francetest, rapporte l'enquête publiée ce mardi 31 août.

Les accès auraient été bloqués
Le média a prévenu l'entreprise éditrice du logiciel Francetest de cette vulnérabilité. En réaction, dans la nuit du vendredi 27 août au samedi 28 août, une partie du site hébergeant la base de données a été rendue "inaccessible", précise Mediapart. Hier, Francetest a également modifié les identifiants qui permettaient d'accéder à l'ensemble des résultats médicaux. "J'ai bloqué tous les accès", a ainsi assuré Nathaniel Hayoun, le fondateur de Francetest.

Pour comprendre cette affaire, il faut revenir à l'organisation et la gestion des tests de dépistage du Covid-19 en France. Le gouvernement a mis en place, depuis le 13 mai 2020, un système d'information de dépistage (SI-DEP) à travers une plateforme où sont systématiquement enregistrés les résultats de tests du Covid-19. Habilitées à effectuer des tests antigéniques, les pharmacies sont tenues de saisir tout résultat (positif ou négatif).

Faciliter le transfert des données vers le SI-DEP
Francetest, une entreprise fondée par Nathaniel Hayoun en janvier dernier, propose un service qui facilite le transfert des résultats de tests vers le fichier SI-DEP contre un euro par transmission. Dans les détails, préalablement à la réalisation d'un test, le patient remplit un formulaire de renseignements. Ces données ainsi que le résultat du test sont retranscrits par le professionnel de santé sur la plateforme SI-DEP en se connectant avec sa carte de professionnel de santé (CPS). Francetest propose un service qui automatise la saisie des résultats dans le portail national. 

C'est la plateforme de Francetest qui était donc apparemment mal sécurisée puisque n'importe qui pouvait accéder à l'ensemble des données des patients testés. En pratique, sont concernés le nom, prénom, sexe, date de naissance, numéro de Sécurité sociale, adresse mail, numéro de téléphone et adresse postale. Le résultat de test (positif ou négatif) était également librement accessible.

Francetest reconnaît le manque de sécurité informatique
Nathaniel Hayoun reconnaît l'existence de cette faille de sécurité arguant avoir été débordé par la demande. "Avant l’arrivée du pass sanitaire, nous avions relativement peu de tests. Après, il y a eu une véritable explosion qui a été difficile à gérer. J’ai dû mettre à jour le site sans avoir le temps nécessaire", a-t-il expliqué à Mediapart. Aussi, il promet avoir engagé une équipe en spécialistes en sécurité informatique afin de savoir si la faille a été ou non exploitée par des cybercriminels.

De son côté, le ministère des Solidarités et la Santé affirme que "la responsabilité incombe (…) au gérant de la société" car Francetest n'est pas un site autorisé "à alimenter [le fichier] SI-DEP". En effet, il explique qu'il existe une liste limitative des logiciels autorisés. Ces derniers sont homologués à l'issue d'une procédure menée par la Direction générale de la santé (DGS). "Le recours à tout logiciel ne figurant pas sur cette liste doit être proscrit", a ainsi rappelé la DGS dans un email envoyé le 29 août à l'ensemble des professionnels de santé. Or, Francetest ne figure pas sur cette liste. Ce que Nathaniel Hayoun confirme tout en précisant avoir fait une demande auprès de la DGS "en cours de validation".

Comme l'explique Mediapart, Francetest joue sur un flou juridique lui permettant de contourner l'obligation d'homologation. Le décret du 12 mai 2020 régissant le SI-DEP ne prévoit aucune sanction en cas de non-respect de cette prescription. Des travaux sont en cours pour modifier cette faille, rapporte le ministère des Solidarités et de la Santé.

Les données hébergées par Amazon
A noter également que Francetest héberge l'ensemble de données traitées via Amazon Web Services (AWS), le service de cloud computing d'Amazon. Pensant rassurer, l'entreprise strasbourgeoise affirme que les données sont stockées sur "les serveurs Amazon Aurora certifiés hébergeurs de données de santé et situés à Paris". Or, en vertu du CLOUD Act, les autorités américaines peuvent ordonner la divulgation des données stockées en Europe par des entreprises américaines quelle que soit leur localisation. 

La Commission nationale de l'informatique et des libertés (Cnil) a été saisie par le ministère et mène actuellement "des investigations". Si les faits sont confirmés, il pourrait s'agir d'une violation de données au titre du Règlement général sur la protection des données (RGDP). Par conséquent, il incombe au responsable de traitement de procéder à une notification auprès de la Cnil dans les 72 heures suivant le moment où il en a pris connaissance. De plus, lorsque la fuite de données est susceptible d'engendrer un risque élevé pour les droits et libertés, le responsable doit informer les personnes concernées que leurs données sont compromises.

Sélectionné pour vous

La plateforme de signature électronique de Dropbox touchée par une cyberattaque

Noyb porte plainte contre OpenAI pour mauvais traitement des données personnelles

Vers un Health Data Hub européen pour favoriser la réutilisation des données de santé