Une faille informatique rend accessibles les données de 700 000 personnes dépistées pour le Covid-19
Une enquête de Mediapart révèle qu'une importante faille informatique de la plateforme Francetest a permis l’accès à plus de 700 000 résultats de tests antigéniques. Le site n'est pourtant pas autorisé à alimenter la base de données du gouvernement.
Une faille informatique a rendu accessibles en ligne les résultats de plus de 700 000 résultats de dépistages du Covid-19, ainsi que les données personnelles des patients, selon une enquête du 31 août de Mediapart, reprise par Le Monde et l'AFP. Ces informations étaient disponibles jusqu'au 27 août grâce à «un mot de passe trouvable, en clair, dans un dossier accessible à tous» sur le site de Francetest, toujours selon Mediapart.
Interrogé par le site d’information, Nathaniel Hayoun, le créateur et responsable de Francetest, a assuré que des experts en sécurité planchaient sur le problème, notamment pour déterminer les éventuelles exploitations de la faille et des données rendues accessibles.
Une plateforme utilisée par les pharmaciens pour compenser le manque d'ergonomie de la base de données SI-DEP
La plateforme Francetest est utilisée par des pharmaciens pour envoyer les données des dépistages du Covid-19 qu’ils effectuent à la base de données SI-DEP. Le SI-DEP (système d'informations de dépistage) est une plateforme sécurisée où sont systématiquement enregistrés les résultats de tests Covid-19 afin «de s'assurer que tous les cas positifs sont bien pris en charge» et d'identifier les cas contacts, explique le ministère de la Santé sur son site. Créé dans l’urgence par l'Assistance publique-Hôpitaux de Paris (AP-HP) en décembre dernier, son manque d’ergonomie a poussé certains pharmaciens à recourir à des intermédiaires comme Francetest, qui monnaie sa prestation à un euro.
Une ombre au tableau toutefois : la Direction générale de la santé (DGS) a envoyé un courrier électronique le 29 août aux pharmaciens pour leur rappeler quels sont les logiciels agréés et compatibles avec le SI-DEP, et Francetest n’en fait pas partie. C'est en effet le ministère de la Santé qui «homologue les logiciels compatibles avec SI-DEP», rappelle Mediapart. Or, le ministère a également affirmé auprès de Mediapart que Francetest est «un site non autorisé à alimenter SI-DEP et la responsabilité incombe donc au gérant de la société».
Le ministère de la Santé n'a pas prévu de sanction contre l'utilisation de logiciels non-habilités
Mediapart soulève à ce titre certaines ambiguïtés juridiques qui gravitent autour de la plateforme. Ne figurant pas dans la liste d’habilitation établie par le ministère – bien que Francetest en aurait fait la demande – le décret pris ne prévoit toutefois aucune sanction en cas d’infraction. Interrogé à ce sujet, le ministère de la Santé a reconnu qu’«à cette date, il n’y a pas d’obligation légale» mais qu’une modification du décret afin de corriger le tir est prévue.
Philippe Besset, président de la Fédération des syndicats pharmaceutiques de France, avait déjà sensibilisé les autorités à ce sujet. «Ça fait des semaines et des semaines que nous alertons les autorités sur ces sociétés qui se présentent comme labellisées et facilitent la tâche des pharmaciens pour aller sur le SI-DEP», rappelle Philippe Besset d’après l’AFP.
Un signalement a été effectué auprès de la CNIL par le ministère, qui a pour sa part indiqué avoir ouvert une enquête.