Francetest, un site faisant l'intermédiaire entre les pharmaciens et le fichier national des cas-contacts du COVID-19 a présenté de graves insuffisances de sécurité. Les données personnelles et les résultats de tests COVID de plus de 700 000 Français ont été laissés en accès libre pendant des mois.
Techniquement, les pharmaciens doivent remplir eux-mêmes le fichier SI-DEP (Système d'Informations de DEPistage), un système national qui centralise l'ensemble des informations des tests COVID afin de gérer les cas contact. En pratique, ils ont souvent recours à des sous-traitants comme Francetest qui leur simplifient la tâche. Mediapart nous apprend que les données personnelles et résultats de dépistages étaient hébergés en clair par ce site, qui se base sur Wordpress.
Un patient s'est rendu compte après un dépistage qu'il pouvait réduire l'URL de résultats Francetest envoyée par son pharmacien. Ainsi, il pouvait accéder à l'intégralité des dossiers du site. Il était alors possible de remonter dans l'arborescence des fichiers et d'obtenir les noms, prénoms, genres, numéros de Sécurité sociale, adresses ou encore numéro de téléphone des autres patients.
Il a également pu observer d'autres problèmes : il était possible de se créer un compte à l'aide de numéros professionnels fictifs, et aucun script ne supprimait les données tous les six mois comme l'exige la loi. L'entreprise s'est défendue en expliquant effectuer cette action manuellement. De plus, une sauvegarde automatique des données du site se faisait quotidiennement sur… le compte Google Drive du créateur de Francetest.
L'entreprise a expliqué ne pas être agréée par le gouvernement mais être encore en discussion avec la DGS. Officiellement, elle ne peut donc pas se connecter au SI-DEP mais se sert des identifiants professionnels de ses clients pharmaciens. Ainsi, il n'y a pas de blocage car le fichier présume que c'est le pharmacien qui se connecte directement. Les failles de sécurités ont été bouchées dans la nuit du 27 au 28 août après les appels de Mediapart, et les données ne sont plus accessibles. La CNIL a confirmé au journal qu'une enquête était en cours.
Mise à jour — FranceTest donne des précisions supplémentaires auprès de RTL : il n'existe aucun élément qui laisse à penser qu'une fuite des données a eu lieu, selon l'entreprise. « À ce stade, nous considérons qu'il s'agit uniquement de l'avertissement d'une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance », explique-t-elle.
FranceTest indique aussi qu'aucune sauvegarde des données des patients n'a été réalisée sur Google Drive, uniquement une sauvegarde des données de l'application. Un audit des serveurs est toujours en cours.
