Accueil Cybersécurité Fuite de résultats de tests Covid : la société impliquée fait appel...

Fuite de résultats de tests Covid : la société impliquée fait appel à des “experts en cybersécurité”

(AFP) – La société Francetest a assuré mercredi à l’AFP avoir “requis l’assistance d’experts en cybersécurité” après la révélation d’une faille informatique rendant accessible des centaines de milliers de résultats de tests Covid réalisés en pharmacies, et sur laquelle la Cnil a lancé une enquête.

La société spécialisée dans le transfert de données de tests Covid réalisés en pharmacie vers la plateforme gouvernementale SI-DEP indique qu’elle va réaliser avec ces experts des tests d’évaluation de la sécurité de ses serveurs.
La faille a été révélée mardi par Mediapart. Selon le site d’information, les noms, prénoms, dates de naissance, adresses, numéros de téléphone, numéros de sécurité sociale et adresses e-mail, ainsi que le résultat des tests de 700 000 personnes étaient disponibles jusqu’à vendredi grâce à “un mot de passe trouvable, en clair, dans un dossier accessible à tous” sur le site de Francetest.

Absence de certaines protections très basiques

Le site, fondé sur l’outil populaire de sites et de blogs WordPress, ne comportait pas certaines protections très basiques permettant d’interdire l’accès à l’arborescence du site, une négligence relativement banale. Il permettait ainsi aux curieux, sans avoir nullement besoin de techniques de hackers, de trouver des données personnelles qui ne leur étaient pas destinées.
La société dit mercredi avoir informé la Cnil qui avait annoncé la veille à l’AFP avoir lancé des investigations, après un “signalement anonyme“. “Il n’existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuitées“, soutient encore Francetest. Pour l’instant, la faille a en effet été signalée par une personne, mais il faudrait mener une enquête plus poussée pour savoir si d’autres ont pu consulter ou extraire les informations personnelles des patients.

“Francetest a tout lieu de considérer que cet incident est techniquement clôturé”

Dans sa déclaration transmise à l’AFP, Francetest assure avoir “pris immédiatement les mesures techniques nécessaires” pour corriger la faille, ainsi que d’autres mesures générales de sécurité de base, comme la modification des mots de passe et la mise à jour des pare-feux. “À ce jour et à cette heure, Francetest a tout lieu de considérer que cet
incident est techniquement clôturé“, poursuit la société, qui affirme qu’une information des pharmaciens et des patients concernés par la faille est “en cours“.
La Direction générale de la santé (DGS) a également envoyé dimanche un mail aux pharmaciens pour leur rappeler les logiciels agréés et compatibles avec le SI-DEP, dont Francetest ne fait pas partie.