Sécurité : plus de 700 000 résultats de tests COVID étaient en accès libre 🆕
Francetest, un site faisant l'intermédiaire entre les pharmaciens et le fichier national des cas-contacts du COVID-19 a présenté de graves insuffisances de sécurité. Les données personnelles et les résultats de tests COVID de plus de 700 000 Français ont été laissés en accès libre pendant des mois.
Techniquement, les pharmaciens doivent remplir eux-mêmes le fichier SI-DEP (Système d'Informations de DEPistage), un système national qui centralise l'ensemble des informations des tests COVID afin de gérer les cas contact. En pratique, ils ont souvent recours à des sous-traitants comme Francetest qui leur simplifient la tâche. Mediapart nous apprend que les données personnelles et résultats de dépistages étaient hébergés en clair par ce site, qui se base sur Wordpress.
Un patient s'est rendu compte après un dépistage qu'il pouvait réduire l'URL de résultats Francetest envoyée par son pharmacien. Ainsi, il pouvait accéder à l'intégralité des dossiers du site. Il était alors possible de remonter dans l'arborescence des fichiers et d'obtenir les noms, prénoms, genres, numéros de Sécurité sociale, adresses ou encore numéro de téléphone des autres patients.
Il a également pu observer d'autres problèmes : il était possible de se créer un compte à l'aide de numéros professionnels fictifs, et aucun script ne supprimait les données tous les six mois comme l'exige la loi. L'entreprise s'est défendue en expliquant effectuer cette action manuellement. De plus, une sauvegarde automatique des données du site se faisait quotidiennement sur… le compte Google Drive du créateur de Francetest.
L'entreprise a expliqué ne pas être agréée par le gouvernement mais être encore en discussion avec la DGS. Officiellement, elle ne peut donc pas se connecter au SI-DEP mais se sert des identifiants professionnels de ses clients pharmaciens. Ainsi, il n'y a pas de blocage car le fichier présume que c'est le pharmacien qui se connecte directement. Les failles de sécurités ont été bouchées dans la nuit du 27 au 28 août après les appels de Mediapart, et les données ne sont plus accessibles. La CNIL a confirmé au journal qu'une enquête était en cours.
Mise à jour — FranceTest donne des précisions supplémentaires auprès de RTL : il n'existe aucun élément qui laisse à penser qu'une fuite des données a eu lieu, selon l'entreprise. « À ce stade, nous considérons qu'il s'agit uniquement de l'avertissement d'une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance », explique-t-elle.
FranceTest indique aussi qu'aucune sauvegarde des données des patients n'a été réalisée sur Google Drive, uniquement une sauvegarde des données de l'application. Un audit des serveurs est toujours en cours.
Oh bah ca alors !! Quelle surprise !!
C’est une blague 🤣 Comment peut on faire des boulettes aussi enormes 🥺
@Paquito06
Quand la sécurité n’est pas ton boulot…
@shaba
Exactement
@shaba
À ce niveau d’incompétence il faudrait reformuler : « quand l’informatique n’est pas ton boulot ».
@Paquito06
Une boîte qu’on gagne à ne pas connaître…..
@julien74
“Une boîte qu’on gagne à ne pas connaître…..”
Je peux presque comprendre. C’est pas un mec qui a fait ca seul dans son coin, et si c’est le cas, il aurait eu les connaissances necessaires. C’est un point incontournable les donnees privees, la securisation de celles-ci. On dirait un vieux port ftp ouvert a tous avec des infos en clair, meme un stagiaire en info ne fait pas ca 😅 Je pense a du travail baclé car il fallait aller vite et c’est passé a la trappe, y a eu zero QA, mais ca craint🥴
@Paquito06
Si ce que raconte @Ice est vrai, 1€ par saisie, et donc 700k€ de chiffre, si derrière ils sont encore plus nul qu’un stagiaire, c’est criminel, sachant les données qu’ils manipulaient…
@julien74
« Si ce que raconte @Ice est vrai, 1€ par saisie, et donc 700k€ de chiffre, »
Je confirme. Je viens de vérifier l’info de MediaPart en allant sur le site de FranceTest. Le tarif est affiché.
@IceWizard
Ce sont donc des escrocs à faire payer ce genre de tarif et ensuite ne mettre aucun moyen et laisser libre des données médicales.
Ils ont flairé la manne, empoche le blé, et ont mis en place un site d’une valeur de qq centaines d’euros pour le gérer (et je suis large)
@julien74
« Ils ont flairé la manne, empoche le blé, et ont mis en place un site d’une valeur de qq centaines d’euros pour le gérer (et je suis large) »
Tout ce que je lis là ne me choque pas dans l’absolu. C’est du business et flairer la manne en est la base.
Ce qui est répréhensible c’est le manque total d’assurance qualité dans le process.
La société est pointée du doigt mais les pharmaciens sont également pleinement responsables de requérir les services d’une société non-agréée
..sans parler des responsabilités gouvernementales pour avoir fait preuve de nonchalance
@jazz678
Flairer la manne et se faire de l’argent en fournissant un service n’est en aucun cas un reproche si derrière la gestion des données est exemplaire (ou en tout cas s’ils ont mis les moyens pour gérer la partie sécu).
@julien74
« Flairer la manne et se faire de l’argent en fournissant un service n’est en aucun cas un reproche si derrière la gestion des données est exemplaire »
Je suis d’accord
Règle n°1 du mot de passe: ne pas le communiquer à autrui.
@jazz678
« mais les pharmaciens sont également pleinement responsables de requérir les services d’une société non-agréée »
Absolument.
C’est tout aussi sidérant.
Et très symptomatique de la nonchalance avec lesquelles ces gens traitent des données confidentielles et très sensibles.
Ça fait réfléchir, hein ?
@Bigdidou
J’ai utilisé le même terme plus haut mais dans ce cas précis c’est de l’irresponsabilité à laquelle se rajoute l’incompétence notoire.
L’état doit se poser en garant ultime sur ce genre de sujet sensible. Ça traduit surtout un système établi de fonctionnariat ou la responsabilité par rapport au bien privé est assez peu présente.
@IceWizard
Mettons nos forces toutes et tous ensemble et on lance la même chose pour 0.90 euros. Il y a un marché pendant encore un moment!
@Mac-Bain
« Mettons nos forces toutes et tous ensemble et on lance la même chose pour 0.90 euros. Il y a un marché pendant encore un moment! »
J’ai vu que d’autres se sont déjà lancés. Dommage ! Sinon oui, cela aurait pu être une opportunité. Je suis nul en développement Web, mais l’ergonomie ( l’UX) c’est mon domaine.
@julien74
"Si ce que raconte @Ice est vrai, 1€ par saisie, et donc 700k€ de chiffre, si derrière ils sont encore plus nul qu’un stagiaire, c’est criminel, sachant les données qu’ils manipulaient…"
Ah ce niveau c’est un scam. Criminel comme tu dis. Ca sera(it) puni?
> On dirait un vieux port ftp ouvert
Même pas !
Ils ont "juste" oublié d'interdire le "directory listing" sur leur site.
Une erreur de débutant je dis.
@Paquito06
Parce qu’ils n’ont pas mis de tours de guet ! Avec des tours de guet autour du site ça ne serait pas arrivé !
Les bras m’en tombent…
@Bozzo
Ça va compliquer le passage au vaccin…
WordPress c’est bien pour faire un blog ou un petit petit site pro de présentation à coût modique !
Mais pas pour stocker des infos sensibles ! Même un newbie sait cela 😂
@Sindanárië
WordPress peut permettre de faire un site très sécurisé et de stocker des données de manières très sécurisée, mais il faut savoir utiliser WordPress et être un vrai développeur Web. Le problème avec WordPress, victime de sa popularité, est que des milliers de gens l'utilisent pour faire un site sans aucune connaissance en développement Web. Alors ça ne pose aucun problème pour un site perso ou un petit site d'association mais dans de très nombreux cas c'est très problématique...
Après la publication de sites par de total ignorants en développement Web ne se limite pas à WP, le pire ce sont les agences de graphistes qui vendent à des entreprises des sites alors qu'ils n'y connaissent pas grand chose en développement Web, le graphisme et le développement ce sont deux choses totalement différentes...
@weagt
Surtout que sécuriser a minima un site WordPress et empêcher l’accès aux données n’est vraiment pas sorcier. Faut surtout s’en soucier !
@weagt
👍🏽
@Sindanárië
Rien à voir.
La sécurité de base de l’hébergement était nulle.
Empêcher de Lister un dossier et son contenu c’est le b.a.ba de l’hébergement.
C’est une configuration par défaut là.
Pathétique (et si commun).
@Sindanárië
⚠️ C’Est plutôt la mauvaise configuration du serveur Apache qui laisse la possibilité de remonter dans l’arborescence des dossier sur serveur web : WordPress n’est pas en cause dans cette histoire.
A l’époque j’avais testé le même problème sur le site internet de Wanadoo … on accédait à des giga de sauvegarde d’adresses mail !!! Et pas mal d’autre choses/
@vicento
Oui ah… Wanadoo ! Dis donc tu remontes à l’antiquité là 🤣
Et la suite bah il n’y en aura pas …. Pas du genre revendicateur mais là faudrai une bonne grosse claque aux responsables de toute cette 💩 bande d’amateurs
Si je comprends bien, seuls les tests fait en pharmacie sont concernés ?
« À ce stade, nous considérons qu'il s'agit uniquement de l'avertissement d'une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu conséquence »
C’est pas grave alors 🤷♂️🤦♂️
Comme on a pas mis de thermomètre, il ne doit pas faire froid...
Classique dans l'IT.
@FloMo
« dès que nous en avons eu conséquence »
C’est pas « dès que nous en avons eu conscience » plutôt ??
On est vraiment sur du niveau de "Options -Indexes" écrit dans le htaccess pour combler la "faille" ?
🤔
@AlexG
🤣🤣
Ce n’est pas une faille C’est la fosse des Aléoutiennes !
Allez ouste Étienne! Il est où Etienne ? Putain de stagiaire…
A peine arrivé sur francetest.fr, j'ai déjà comme un sentiment de malaise...
@geooooooooffrey
Ça pique les yeux
@geooooooooffrey
Complètement. Entre la bannière « logo » en haut, le texte non centre et la bandeau « popular » sur l’unique tarif, ça fait peur
@geooooooooffrey
😱
Au moins, ils ont une « expérience solide », c’est eux qui le disent…
@geooooooooffrey
Aïe les yeux !
Oh la vache le post qui va générer au moins 200 commentaires avec une préférence pour les antivax.
Sinon…
Les pharmaciens ne sont-ils pas soumis au serment d’Hippocrate ?
Et le consentement? Toussa toussa
@xDave
Je crois que depuis le début de cette histoire la bible des lois a glissé dans la poubelle et la ménagère a tout jeté.
Ce qui explique l’amateurisme de Macron.
@xDave
« Les pharmaciens ne sont-ils pas soumis au serment d’Hippocrate ? »
Non.
Mais au secret professionnel inscrit dans dans le code de santé publique, donc dans la loi, oui, bien sûr ;)
En terme de sécu c’est très mauvais mais sinon ça fait quoi de savoir que Machin Dupont a été positif au COVID ?
@kiddsoso
Ce n’est pas trop le soucis d’être positif ou non mais votre nom, prénom, nul de tel et surtout num de sécurité sociale (qui ne peut pas être changé, je le rappelle) constitue un cocktail plutôt embarrassant…
@Pat2fruit
en fait en ce moment pouvoir presenter un test positif covid, ca fait passe vaccinal pendant 5 mois
donc là on pouvait meme sans avoir eu le covid
@Pat2fruit
Ah y’a autant d’infos … je ne savais pas, du coup en effet c’est très mauvais
Pages