Ouvrir le menu principal

MacGeneration

Recherche

Sécurité : plus de 700 000 résultats de tests COVID étaient en accès libre 🆕

Félix Cattafesta

mardi 31 août 2021 à 20:00 • 93

Ailleurs

Francetest, un site faisant l'intermédiaire entre les pharmaciens et le fichier national des cas-contacts du COVID-19 a présenté de graves insuffisances de sécurité. Les données personnelles et les résultats de tests COVID de plus de 700 000 Français ont été laissés en accès libre pendant des mois.

Techniquement, les pharmaciens doivent remplir eux-mêmes le fichier SI-DEP (Système d'Informations de DEPistage), un système national qui centralise l'ensemble des informations des tests COVID afin de gérer les cas contact. En pratique, ils ont souvent recours à des sous-traitants comme Francetest qui leur simplifient la tâche. Mediapart nous apprend que les données personnelles et résultats de dépistages étaient hébergés en clair par ce site, qui se base sur Wordpress.

Image : Médiapart.

Un patient s'est rendu compte après un dépistage qu'il pouvait réduire l'URL de résultats Francetest envoyée par son pharmacien. Ainsi, il pouvait accéder à l'intégralité des dossiers du site. Il était alors possible de remonter dans l'arborescence des fichiers et d'obtenir les noms, prénoms, genres, numéros de Sécurité sociale, adresses ou encore numéro de téléphone des autres patients.

Il a également pu observer d'autres problèmes : il était possible de se créer un compte à l'aide de numéros professionnels fictifs, et aucun script ne supprimait les données tous les six mois comme l'exige la loi. L'entreprise s'est défendue en expliquant effectuer cette action manuellement. De plus, une sauvegarde automatique des données du site se faisait quotidiennement sur… le compte Google Drive du créateur de Francetest.

L'entreprise a expliqué ne pas être agréée par le gouvernement mais être encore en discussion avec la DGS. Officiellement, elle ne peut donc pas se connecter au SI-DEP mais se sert des identifiants professionnels de ses clients pharmaciens. Ainsi, il n'y a pas de blocage car le fichier présume que c'est le pharmacien qui se connecte directement. Les failles de sécurités ont été bouchées dans la nuit du 27 au 28 août après les appels de Mediapart, et les données ne sont plus accessibles. La CNIL a confirmé au journal qu'une enquête était en cours.

Mise à jour — FranceTest donne des précisions supplémentaires auprès de RTL : il n'existe aucun élément qui laisse à penser qu'une fuite des données a eu lieu, selon l'entreprise. « À ce stade, nous considérons qu'il s'agit uniquement de l'avertissement d'une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance », explique-t-elle.

FranceTest indique aussi qu'aucune sauvegarde des données des patients n'a été réalisée sur Google Drive, uniquement une sauvegarde des données de l'application. Un audit des serveurs est toujours en cours.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Donald Trump au secours d’Intel en faisant entrer l’État à hauteur de 10 % de l’entreprise

22/08/2025 à 23:15

• 16


Apple porte plainte contre un ancien employé parti chez Oppo avec des secrets industriels

22/08/2025 à 21:30

• 10


Orange France touchée par un ransomware

22/08/2025 à 21:00

• 27


Siri motorisé par Gemini ? Apple rajoute Google aux possibilités

22/08/2025 à 20:08

• 24


Bon plan : le Mac mini M4 sous la barre des 600 €, la petite machine qui fait la grande affaire

22/08/2025 à 18:22

• 12


Des supports pour faire de la place sous le Mac mini M4

22/08/2025 à 17:22

• 23


Promo : le MacBook Air M4 descend à 949 € pour tout le monde

22/08/2025 à 17:02

• 10


« Les Trésors de l’Aventure Apple » : 1 000 articles pour replonger dans l’histoire d’Apple

22/08/2025 à 14:37

• 6


L'IA est là : notre série de l'été pour tout comprendre sur l'IA

22/08/2025 à 11:51

• 29


Auchan piraté : des données personnelles de centaines de milliers de clients compromises

22/08/2025 à 11:08

• 44


Apple.com ouvre des pages pour le secteur public

22/08/2025 à 11:03

• 4


Promo sur des adaptateurs secteur et grosses batteries pour iPhone, iPad et MacBook

22/08/2025 à 10:45

• 4


Test de l'Asus Zenbook A14 : un PC portable ARM qui peine à convaincre

22/08/2025 à 10:15

• 13


Un solide disque dur portable 6 To à 213 €, son meilleur prix

22/08/2025 à 09:59

• 10


Des iPad bradés : du modèle d’entrée de gamme à l’iPad Pro M4, des prix jamais vus

22/08/2025 à 08:52

• 36


Meta a encore capturé un ingénieur IA d’Apple, le sixième depuis juillet

22/08/2025 à 05:50

• 26