BFM Business

Francetest laisse fuiter 700.000 résultats de tests antigéniques avec les données privées des patients

Analyse d'un test antigénique à Saint-Denis, le 21 janvier 2021

Analyse d'un test antigénique à Saint-Denis, le 21 janvier 2021 - THOMAS SAMSON © 2019 AFP

Mediapart révèle que Francetest, une plateforme de gestion des données entre les pharmaciens et le gouvernement, a laissé fuiter les résultats de 700.000 tests accompagnés de l'identité complète des personnes.

"Simplifez la gestion de vos tests antigéniques". Le slogan de Francetest n'est pas si vrai. Le site créé en janvier 2021 pour établir un lien plus efficace entre les pharmaciens et le fichier SI-DEP (Système d'Informations de DEPistage) du gouvernement a laissé fuiter pendant plusieurs mois les résultats de 700.000 tests accompagnés de l'identité complète des personnes.

Selon Mediapart qui révèle ce bug, les données personnelles étaient "accessibles à tous en quelques clics". On pouvait y lire en plus des résultats des tests, le nom, prénom, genre, date de naissance, numéro de Sécurité sociale, adresse mail, numéro de téléphone et adresse postale des patients.

La plateforme a réparé ce dysfonctionnement dans la nuit du vendredi 27 au samedi 28 août après un appel téléphonique passé par Mediapart pour lui signaler le problème. Les identifiants d'accès ont ensuite été modifiés lundi 30 août. Mediapart évoque "une série de négligences dans la conception de Francetest, pour certaines grossières".

L'affaire a été détectée d'une manière fortuite. Le site révèle qu'en voulant retrouver un test qu'elle avait effectué grâce au lien envoyé par le pharmacien, une patiente férue d'informatique a découvert le pot aux roses. Elle a été surprise par la mention "wp-content" (contenu WordPress) dans l'adresse URL. WordPress n'est pas l'outil idéal pour gérer des données sensibles. C'est un système de gestion de contenu "gratuit, libre et open-source" permettant de créer de sites facilement.

Mais l'informaticienne amatrice n'en était qu'au début de ses surprises. En réduisant l'adresse et en remontant tout simplement dans l’arborescence de l'URL, elle est arrivée aux fichiers contenant les données des clients. Elle a aussi découvert qu'il était même possible de créer un compte sans être pharmacien "en rentrant des numéros professionnels fictifs".

Enfin, elle n'a trouvé aucune trace d'une ligne de code pour supprimer automatiquement les données au bout de six mois, une fonction obligatoire pour traiter ce type de données. Selon Nathaniel Hayoun, dirigeant de Francetest, la suppression des données serait faite manuellement tous les trois mois. Comment cette plateforme a-t-elle pu être homologuée par le gouvernement? C'est la cerise sur le gâteau car en fait, elle ne l'était pas encore.

"Mon dossier est en cours de validation. Ça fait deux mois que je suis en contact avec eux", assure Nathaniel Hayoun à Mediapart en affirmant que tout a été fait légalement.

Techniquement, c'est exact puisque pour se connecter au SI-DEP, Francetest utilisait légalement les identifiants des pharmaciens abonnés à son service. Le service gouvernemental n'avait pas anticipé l'intervention de site tiers.

Dès dimanche, la Direction générale de la santé (DGS) a envoyé un mail aux pharmaciens pour leur rappeler les logiciels agréés et compatibles avec le SI-DEP, dont Francetest ne fait pas partie.

"Ca fait des semaines et des semaines que nous alertons les autorités sur ces sociétés qui se présentent comme labellisées et facilitent la tâche des pharmaciens pour aller sur le SI-DEP", rappelle Philippe Besset, président de la Fédération des syndicats pharmaceutiques de France (FSPF).

Reste à savoir ce qu'en dira l'enquête lancée par la Commission nationale de l’informatique et des libertés (Cnil) pour déterminer si les données étaient sufisamment protégées, si les procédures de signalement de la fuite ont été suivies et si Francetest a respecté le règlement général sur la protection des données (RGPD).

Pascal Samama
https://twitter.com/PascalSamama Pascal Samama Journaliste BFM Éco