Les données de 700 000 Français testés du Covid exposées en ligne

Le site de FranceTest a exposé les données de 700 000 personnes, y compris les résultats de tests antigéniques renseignés par les pharmaciens. Ces informations étaient certes protégées par un mot de passe, mais celui-ci était accessible en clair sur le site.

Testé du coronavirus en pharmacie ? Vos données ont peut-être été exposées sur le web. Médiapart a révélé fin août que les noms, prénoms, adresses e-mail, adresses postales, dates de naissance, numéros de téléphone, numéros de sécurité sociale et résultats de test antigénique de quelque 700 000 Français et Françaises étaient accessibles en ligne sans trop de mal. Ces informations, stockées par le site FranceTest, étaient certes protégés par un mot de passe, mais celui-ci était « trouvable, en clair, dans un dossier accessible à tous » rapporte notre confrère.

« L'alerte a été lancée par une patiente qui a voulu récupérer un résultat d'analyse via un lien qui lui avait été fourni. Elle a alors réalisé qu'avec quelques manipulations de l'adresse URL, elle pouvait accéder à une énorme base de données » indique Médiapart. En cause, une utilisation hasardeuse de Wordpress pour ce site qui n’intégrait pas les protections de base pour éviter que n’importe qui puisse accéder à l’arborescence du site et audit mot de passe. Ces données ont été ainsi accessibles pendant plusieurs mois. Car FranceTest, quand bien même elle n’est pas homologué par la Direction Générale de la Santé, permet aux pharmaciens d’envoyer les données des tests vers la plateforme SI-DEP.

Négligence

L’entreprise a réagi en indiquant avoir remédié « immédiatement » au problème et précisant qu’il « n’existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuitées ». Dans un formidable exercice d’autruche, FranceTest martèle qu’il estime « qu’il s’agit uniquement de l’avertissement d’une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance ».

FranceTest ajoute avoir pris diverses mesures, telles que la réinitialisation de tous les mots de passe et la vérification de la mise à jour des pares-feux de sorte à renforcer la sécurité de son service. La société a par ailleurs fait appel à des experts en sécurité qui réaliseront des pentests sur ses serveurs. « A ce jour et à cette heure, Francetest a tout lieu de considérer que cet incident est techniquement clôturé » écrit l’entreprise, qui ajoute avoir contacté la Cnil et informer pharmaciens et patients.

 « Cette faille s’apparente à une vulnérabilité de type "insecure direct object references", très fréquente sur les plateformes web » explique HackerOne. Pour Busra Demir, Senior Solutions Architecte chez la plateforme de bug bounty, « il s’agit de la vulnérabilité la plus fréquente au sein des plateformes des administrations publiques (18 %), du secteur médical (36 %) et des systèmes dédiés aux services professionnels (31 %). [...] Il est facile pour un cybercriminel de détecter et d'exploiter ce genre de faille. En effet, sans étapes d’authentification ou de limites d'accès, un attaquant peut aisément mettre en place un programme qui télécharge de manière automatisée chaque message, photo, vidéo et données de l'ensemble du site ».