Les données personnelles de 700 000 personnes testées pour le Covid-19 sont devenues accessibles en raison d’une faille informatique. Une faille sur un site transmettant les résultats de tests Covid réalisés en pharmacie vers la plateforme gouvernementale a rendu accessible les données personnelles et les résultats de tests de milliers de personnes, a révélé Mediapart. Les noms, prénoms, dates de naissance, adresses, numéros de téléphone, numéros de sécurité sociale et adresse e-mail, ainsi que le résultat des tests de 700 000 individus étaient disponibles grâce à « un mot de passe trouvable, en clair, dans un dossier accessible à tous » sur le site de Francetest, écrit le site d’information.

Sécurisé… Vraiment ?

Francetest est une société fondée en janvier dernier qui s’est spécialisée dans le transfert de données de tests Covid réalisés en pharmacie vers la plateforme SI-DEP (système d’informations de dépistage sécurisé), où sont systématiquement enregistrés les résultats de tests. Cette plateforme, « fabriquée par l’AP-HP en urgence en décembre (…) n’est pas très ergonomique », explique Philippe Besset, président de la Fédération des syndicats pharmaceutiques de France (FSPF). Résultat : nombre de pharmaciens ont recours à des intermédiaires pour rentrer les résultats des tests réalisés dans le SI-DEP. Francetest facture ainsi un euro par transmission, d’après Mediapart.

« Ca fait des semaines et des semaines que nous alertons les autorités sur ces sociétés qui se présentent comme labellisées et facilitent la tâche des pharmaciens pour aller sur le SI-DEP », s’alarme le président des pharmaciens. « Nous avons absolument besoin que les autorités nous fournissent un outil permettant de transmettre les données au SI-DEP avec notre logiciel métier, qui est sûr et agréé », a-t-il insisté, précisant que même les logiciels autorisés par la Direction Générale de la Santé n’étaient pas suffisamment sécurisés.

« Il faut quand même prendre le temps de faire des vérifications de sécurité avant de commencer à collecter des centaines de milliers de données », a alerté sur franceinfo Gérôme Billois, expert en cybersécurité au cabinet de conseil Wavestone, alors qu’une faille de sécurité informatique a touché la société Francetest, spécialisée dans le transfert de données de tests antigéniques réalisés en pharmacie vers la plateforme du gouvernement SI-DEP. « A un moment ou à un autre, cela peut dérailler », poursuit l’expert qui plaide pour un contrôle « externe, indépendant » de ces sites, pour avoir « un niveau minimum de sécurité ».

Jusqu’ici le risque de la cybercriminalité était la rupture du secret médical. Risque évoqué fréquemment dans les nombreuses réunions d’informations provoquée par les attaques récentes mais en fait très théorique. La valeur marchande de cette information est très faible : qui va l’acheter ? Seule une grosse compagnie d’assurance pourrait y gagner quelque chose, mais le risque en terme de sanction pénale et de perte d’image parait trop important pour qu’AXA ou MMA s’y risque. Une sérologie HIV ou un dosage de marqueurs tumoraux vaut infiniment moins qu’un numéro de carte bleue complet. Mais, de ces informations, la cybercriminalité peut en extraire davantage.

On ne sait pas pour l’instant, si cette faille a été utilisée par des personnes malveillantes, des cybercriminels, pour extraire les données. Ces cybercriminels peuvent faire de nombreuses choses avec ces informations : envoyer des faux emails en se basant sur les informations, les noms, les prénoms, les adresses, les numéros de sécurité sociale pour demander par exemple un paiement complémentaire ou demander la communication de la carte bancaire pour créer des fraudes. Les cybercriminels, peuvent aussi aller plus loin, il peuvent préparer des usurpations d’identité. Ils peuvent aussi prendre un crédit au nom de quelqu’un d’autre. Les informations sont très précises, très fraîches parce qu’elles datent de quelques mois.

Il y a plusieurs projets de réglementation qui visent à imposer un niveau minimum de sécurité et d’avoir un label, comme le label CE. Il faut qu’on arrive de plus en plus à avoir une reconnaissance externe, indépendante de ceux qui créent ces sites web. Cela permettrait d’avoir un niveau minimum de sécurité. Mais la sécurité serait sans doute supérieure par le contrôle public, dégagé de la recherche du profit maximal. Mais, hélas, ce n’est pas dans l’air du temps de la privatisation à outrance des services publics.

Sources : www.francetvinfo.fr/ ; www.lequotidiendumedecin.fr/