Sécurité : plus de 700 000 résultats de tests COVID étaient en accès libre 🆕

Félix Cattafesta |

Francetest, un site faisant l'intermédiaire entre les pharmaciens et le fichier national des cas-contacts du COVID-19 a présenté de graves insuffisances de sécurité. Les données personnelles et les résultats de tests COVID de plus de 700 000 Français ont été laissés en accès libre pendant des mois.

Techniquement, les pharmaciens doivent remplir eux-mêmes le fichier SI-DEP (Système d'Informations de DEPistage), un système national qui centralise l'ensemble des informations des tests COVID afin de gérer les cas contact. En pratique, ils ont souvent recours à des sous-traitants comme Francetest qui leur simplifient la tâche. Mediapart nous apprend que les données personnelles et résultats de dépistages étaient hébergés en clair par ce site, qui se base sur Wordpress.

Image : Médiapart.

Un patient s'est rendu compte après un dépistage qu'il pouvait réduire l'URL de résultats Francetest envoyée par son pharmacien. Ainsi, il pouvait accéder à l'intégralité des dossiers du site. Il était alors possible de remonter dans l'arborescence des fichiers et d'obtenir les noms, prénoms, genres, numéros de Sécurité sociale, adresses ou encore numéro de téléphone des autres patients.

Il a également pu observer d'autres problèmes : il était possible de se créer un compte à l'aide de numéros professionnels fictifs, et aucun script ne supprimait les données tous les six mois comme l'exige la loi. L'entreprise s'est défendue en expliquant effectuer cette action manuellement. De plus, une sauvegarde automatique des données du site se faisait quotidiennement sur… le compte Google Drive du créateur de Francetest.

L'entreprise a expliqué ne pas être agréée par le gouvernement mais être encore en discussion avec la DGS. Officiellement, elle ne peut donc pas se connecter au SI-DEP mais se sert des identifiants professionnels de ses clients pharmaciens. Ainsi, il n'y a pas de blocage car le fichier présume que c'est le pharmacien qui se connecte directement. Les failles de sécurités ont été bouchées dans la nuit du 27 au 28 août après les appels de Mediapart, et les données ne sont plus accessibles. La CNIL a confirmé au journal qu'une enquête était en cours.

Mise à jour — FranceTest donne des précisions supplémentaires auprès de RTL : il n'existe aucun élément qui laisse à penser qu'une fuite des données a eu lieu, selon l'entreprise. « À ce stade, nous considérons qu'il s'agit uniquement de l'avertissement d'une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance », explique-t-elle.

FranceTest indique aussi qu'aucune sauvegarde des données des patients n'a été réalisée sur Google Drive, uniquement une sauvegarde des données de l'application. Un audit des serveurs est toujours en cours.

avatar oboulot | 

Oh bah ca alors !! Quelle surprise !!

avatar Paquito06 | 

C’est une blague 🤣 Comment peut on faire des boulettes aussi enormes 🥺

avatar shaba | 

@Paquito06

Quand la sécurité n’est pas ton boulot…

avatar Seb42 | 

@shaba

Exactement

avatar Chris K | 

@shaba

À ce niveau d’incompétence il faudrait reformuler : « quand l’informatique n’est pas ton boulot ».

avatar julien74 | 

@Paquito06

Une boîte qu’on gagne à ne pas connaître…..

avatar Paquito06 | 

@julien74

“Une boîte qu’on gagne à ne pas connaître…..”

Je peux presque comprendre. C’est pas un mec qui a fait ca seul dans son coin, et si c’est le cas, il aurait eu les connaissances necessaires. C’est un point incontournable les donnees privees, la securisation de celles-ci. On dirait un vieux port ftp ouvert a tous avec des infos en clair, meme un stagiaire en info ne fait pas ca 😅 Je pense a du travail baclé car il fallait aller vite et c’est passé a la trappe, y a eu zero QA, mais ca craint🥴

avatar julien74 | 

@Paquito06

Si ce que raconte @Ice est vrai, 1€ par saisie, et donc 700k€ de chiffre, si derrière ils sont encore plus nul qu’un stagiaire, c’est criminel, sachant les données qu’ils manipulaient…

avatar IceWizard | 

@julien74

« Si ce que raconte @Ice est vrai, 1€ par saisie, et donc 700k€ de chiffre, »

Je confirme. Je viens de vérifier l’info de MediaPart en allant sur le site de FranceTest. Le tarif est affiché.

avatar julien74 | 

@IceWizard

Ce sont donc des escrocs à faire payer ce genre de tarif et ensuite ne mettre aucun moyen et laisser libre des données médicales.
Ils ont flairé la manne, empoche le blé, et ont mis en place un site d’une valeur de qq centaines d’euros pour le gérer (et je suis large)

avatar jazz678 | 

@julien74

« Ils ont flairé la manne, empoche le blé, et ont mis en place un site d’une valeur de qq centaines d’euros pour le gérer (et je suis large) »

Tout ce que je lis là ne me choque pas dans l’absolu. C’est du business et flairer la manne en est la base.
Ce qui est répréhensible c’est le manque total d’assurance qualité dans le process.

La société est pointée du doigt mais les pharmaciens sont également pleinement responsables de requérir les services d’une société non-agréée

..sans parler des responsabilités gouvernementales pour avoir fait preuve de nonchalance

avatar julien74 | 

@jazz678

Flairer la manne et se faire de l’argent en fournissant un service n’est en aucun cas un reproche si derrière la gestion des données est exemplaire (ou en tout cas s’ils ont mis les moyens pour gérer la partie sécu).

avatar jazz678 | 

@julien74

« Flairer la manne et se faire de l’argent en fournissant un service n’est en aucun cas un reproche si derrière la gestion des données est exemplaire »

Je suis d’accord

avatar Fado08 | 

Règle n°1 du mot de passe: ne pas le communiquer à autrui.

avatar Bigdidou | 

@jazz678

« mais les pharmaciens sont également pleinement responsables de requérir les services d’une société non-agréée »

Absolument.
C’est tout aussi sidérant.
Et très symptomatique de la nonchalance avec lesquelles ces gens traitent des données confidentielles et très sensibles.
Ça fait réfléchir, hein ?

avatar jazz678 | 

@Bigdidou

J’ai utilisé le même terme plus haut mais dans ce cas précis c’est de l’irresponsabilité à laquelle se rajoute l’incompétence notoire.

L’état doit se poser en garant ultime sur ce genre de sujet sensible. Ça traduit surtout un système établi de fonctionnariat ou la responsabilité par rapport au bien privé est assez peu présente.

avatar Mac-Bain | 

@IceWizard

Mettons nos forces toutes et tous ensemble et on lance la même chose pour 0.90 euros. Il y a un marché pendant encore un moment!

avatar IceWizard | 

@Mac-Bain

« Mettons nos forces toutes et tous ensemble et on lance la même chose pour 0.90 euros. Il y a un marché pendant encore un moment! »

J’ai vu que d’autres se sont déjà lancés. Dommage ! Sinon oui, cela aurait pu être une opportunité. Je suis nul en développement Web, mais l’ergonomie ( l’UX) c’est mon domaine.

avatar Paquito06 | 

@julien74

"Si ce que raconte @Ice est vrai, 1€ par saisie, et donc 700k€ de chiffre, si derrière ils sont encore plus nul qu’un stagiaire, c’est criminel, sachant les données qu’ils manipulaient…"

Ah ce niveau c’est un scam. Criminel comme tu dis. Ca sera(it) puni?

avatar marc_os | 

> On dirait un vieux port ftp ouvert

Même pas !
Ils ont "juste" oublié d'interdire le "directory listing" sur leur site.
Une erreur de débutant je dis.

avatar Sindanarie | 

@Paquito06

Parce qu’ils n’ont pas mis de tours de guet ! Avec des tours de guet autour du site ça ne serait pas arrivé !

avatar Bozzo (non vérifié) | 

Les bras m’en tombent…

avatar DG33 | 

@Bozzo

Ça va compliquer le passage au vaccin…

avatar Sindanarie | 

WordPress c’est bien pour faire un blog ou un petit petit site pro de présentation à coût modique !
Mais pas pour stocker des infos sensibles ! Même un newbie sait cela 😂

avatar Marius_K | 

@Sindanárië

WordPress peut permettre de faire un site très sécurisé et de stocker des données de manières très sécurisée, mais il faut savoir utiliser WordPress et être un vrai développeur Web. Le problème avec WordPress, victime de sa popularité, est que des milliers de gens l'utilisent pour faire un site sans aucune connaissance en développement Web. Alors ça ne pose aucun problème pour un site perso ou un petit site d'association mais dans de très nombreux cas c'est très problématique...
Après la publication de sites par de total ignorants en développement Web ne se limite pas à WP, le pire ce sont les agences de graphistes qui vendent à des entreprises des sites alors qu'ils n'y connaissent pas grand chose en développement Web, le graphisme et le développement ce sont deux choses totalement différentes...

avatar Jeckill13 | 

@weagt

Surtout que sécuriser a minima un site WordPress et empêcher l’accès aux données n’est vraiment pas sorcier. Faut surtout s’en soucier !

avatar xDave | 

@weagt

👍🏽

avatar xDave | 

@Sindanárië

Rien à voir.
La sécurité de base de l’hébergement était nulle.
Empêcher de Lister un dossier et son contenu c’est le b.a.ba de l’hébergement.

C’est une configuration par défaut là.

Pathétique (et si commun).

avatar vicento | 

@Sindanárië

⚠️ C’Est plutôt la mauvaise configuration du serveur Apache qui laisse la possibilité de remonter dans l’arborescence des dossier sur serveur web : WordPress n’est pas en cause dans cette histoire.

A l’époque j’avais testé le même problème sur le site internet de Wanadoo … on accédait à des giga de sauvegarde d’adresses mail !!! Et pas mal d’autre choses/

avatar Sindanarie | 

@vicento

Oui ah… Wanadoo ! Dis donc tu remontes à l’antiquité là 🤣

avatar fskynet67 | 

Et la suite bah il n’y en aura pas …. Pas du genre revendicateur mais là faudrai une bonne grosse claque aux responsables de toute cette 💩 bande d’amateurs

avatar lkaritoo | 

Si je comprends bien, seuls les tests fait en pharmacie sont concernés ?

avatar Florent Morin | 

« À ce stade, nous considérons qu'il s'agit uniquement de l'avertissement d'une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu conséquence »

C’est pas grave alors 🤷‍♂️🤦‍♂️

avatar Un Type Vrai | 

Comme on a pas mis de thermomètre, il ne doit pas faire froid...
Classique dans l'IT.

avatar hexley | 

@FloMo

« dès que nous en avons eu conséquence »

C’est pas « dès que nous en avons eu conscience  » plutôt ??

avatar Alex Giannelli | 

On est vraiment sur du niveau de "Options -Indexes" écrit dans le htaccess pour combler la "faille" ?
🤔

avatar xDave | 

@AlexG

🤣🤣
Ce n’est pas une faille C’est la fosse des Aléoutiennes !

Allez ouste Étienne! Il est où Etienne ? Putain de stagiaire…

avatar geooooooooffrey | 

A peine arrivé sur francetest.fr, j'ai déjà comme un sentiment de malaise...

avatar Sindanarie | 

@geooooooooffrey

Ça pique les yeux

avatar Mac-Bain | 

@geooooooooffrey

Complètement. Entre la bannière « logo » en haut, le texte non centre et la bandeau « popular » sur l’unique tarif, ça fait peur

avatar Derw | 

@geooooooooffrey

😱

Au moins, ils ont une « expérience solide », c’est eux qui le disent…

avatar cyrcle | 

@geooooooooffrey

Aïe les yeux !

avatar doobie28 | 

Oh la vache le post qui va générer au moins 200 commentaires avec une préférence pour les antivax.

avatar xDave | 

Sinon…
Les pharmaciens ne sont-ils pas soumis au serment d’Hippocrate ?

Et le consentement? Toussa toussa

avatar iPop | 

@xDave

Je crois que depuis le début de cette histoire la bible des lois a glissé dans la poubelle et la ménagère a tout jeté.
Ce qui explique l’amateurisme de Macron.

avatar Bigdidou | 

@xDave

« Les pharmaciens ne sont-ils pas soumis au serment d’Hippocrate ? »
Non.
Mais au secret professionnel inscrit dans dans le code de santé publique, donc dans la loi, oui, bien sûr ;)

avatar kiddsoso | 

En terme de sécu c’est très mauvais mais sinon ça fait quoi de savoir que Machin Dupont a été positif au COVID ?

avatar Pat2fruit | 

@kiddsoso

Ce n’est pas trop le soucis d’être positif ou non mais votre nom, prénom, nul de tel et surtout num de sécurité sociale (qui ne peut pas être changé, je le rappelle) constitue un cocktail plutôt embarrassant…

avatar raoolito | 

@Pat2fruit

en fait en ce moment pouvoir presenter un test positif covid, ca fait passe vaccinal pendant 5 mois
donc là on pouvait meme sans avoir eu le covid

avatar kiddsoso | 

@Pat2fruit

Ah y’a autant d’infos … je ne savais pas, du coup en effet c’est très mauvais

Pages

CONNEXION UTILISATEUR