Depuis plusieurs mois, un énorme problème de conception de Francetest aurait fait fuiter les données sensibles de centaines de milliers de personnes. Une simple manipulation aurait permis aux utilisateurs d’accéder à une base de données normalement protégée par un ensemble de mesures de sécurité.
Francetest : facilitant les transferts vers le SI-DEP
Depuis le 16 novembre 2020, un professionnel de santé réalisant un test anti-Covid sur un patient doit transmettre le résultat de cedit test à la plateforme sécurisée SI-DEP (Système d’information et de dépistage).
Selon Santé Publique France , “Ces données permettent de calculer les indicateurs de surveillance de l’évolution de la pandémie en France”. Le problème, c’est qu’à l’instar d’autres sites officiels, l’ergonomie de SI-DEP ne serait pas optimale.
Pour pallier cela, des sous-traitants tels que Francetest ont ainsi vu le jour : ce genre d’outil permet aux professionnels de santé (particulièrement les pharmaciens) de transférer plus facilement leurs informations au SI-DEP, et aux clients d’obtenir plus facilement leurs résultats.
Mais selon Mediapart, d’importants problèmes de conception de Francetest ont mis à nu les données d’un grand nombre de personnes.
700 000 personnes seraient concernées
Dans un article, Mediapart explique qu’une utilisatrice désirant retrouver le résultat d’un test réalisé en pharmacie s’est aperçue de la faille en modifiant un lien URL reçu dans un email.
Grâce à cette manipulation, l’utilisatrice aurait eu accès à une base de données répertoriant notamment les noms, prénoms, numéros de téléphone, adresses mails et postales de 700 000 personnes.
“Qui d’autre que moi a pu accéder à ces données, intentionnellement ou non, de manière malveillante ou non, sachant que 700 000 personnes ont reçu le même mail que moi depuis ces 6 derniers mois, avec le même lien de résultat ?”, indique-t-elle à Mediapart.
Alerté par le média le 27 août, Francetest a immédiatement “appréhendé l’existence” de ce que Mediapart qualifie de “faille béante”. Francetest, de son côté, se défend et considère qu’un “certain nombre d’articles de presse [ont] rapporté des informations inexactes.”
Sur sa page d’accueil, le sous-traitant déclare en effet :
“Il n’existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuitées. A ce stade, nous considérons qu’il s’agit uniquement de l’avertissement d’une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance.”