700 000 tests antigéniques accessibles en ligne

Le site de FranceTest a exposé les données de 700 000 personnes, y compris les résultats de tests antigéniques renseignés par les pharmaciens. Ces informations étaient certes protégées par un mot de passe, mais celui-ci était accessible en clair sur le site.

 Testé du coronavirus en pharmacie ? Vos données ont peut-être été exposées sur le web. Médiapart a révélé fin août que les noms, prénoms, adresses e-mail, adresses postales, dates de naissance, numéros de téléphone, numéros de sécurité sociale et résultats de test antigénique de quelque 700 000 Français et Françaises étaient accessibles en ligne sans trop de mal. Ces informations, stockées par le site FranceTest, étaient certes protégés par un mot de passe, mais celui-ci était « trouvable, en clair, dans un dossier accessible à tous » rapporte notre confrère.

En cause, une utilisation hasardeuse de Wordpress pour ce site qui n’intégrait pas les protections de base pour éviter que n’importe qui puisse accéder à l’arborescence du site et audit mot de passe. Ces données ont été ainsi accessibles pendant plusieurs mois. Car FranceTest, quand bien même elle n’est pas homologué par la Direction Générale de la Santé, permet aux pharmaciens d’envoyer les données des tests vers la plateforme SI-DEP.

Négligence

L’entreprise a réagi en indiquant avoir remédié « immédiatement » au problème et précisant qu’il « n’existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuitées ». Dans un formidable exercice d’autruche, FranceTest martèle qu’il estime « qu’il s’agit uniquement de l’avertissement d’une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance ».

FranceTest ajoute avoir pris diverses mesures, telles que la réinitialisation de tous les mots de passe et la vérification de la mise à jour des pares-feux de sorte à renforcer la sécurité de son service. La société a par ailleurs fait appel à des experts en sécurité qui réaliseront des pentests sur ses serveurs. « A ce jour et à cette heure, Francetest a tout lieu de considérer que cet incident est techniquement clôturé » écrit l’entreprise, qui ajoute avoir contacté la Cnil et informer pharmaciens et patients.