Fuites de données suite aux failles de sécurité de la plateforme Francetest

Base de données non sécurisée : 700 000 tests antigéniques français exposés

Francetest est une société spécialisée dans le transfert de données de tests Covid effectués dans les pharmacies françaises vers la plateforme SI-DEP. Celle-ci a connu des failles de sécurité, entraînant l’exposition de 700 000 résultats de tests Covid français.

Des informations sensibles restées accessibles

Les données exposées relèvent des informations sensibles des personnes testées. Il s’agit entre autres des noms, des dates de naissance, des adresses postales et électroniques. Les numéros de téléphone et de sécurité sociale ont également été divulgués. Selon  Mediapart, Les données personnelles et les résultats des tests Covid de plusieurs centaines de milliers de personnes sont restés accessibles au public pendant plusieurs mois à cause de plusieurs failles de sécurité sur la plateforme Francetest.

La plateforme Francetest est utilisée par les pharmaciens pour transmettre les résultats des données au SI-DEP (base de données du système d’information). C’est également sur cette plateforme que les patients viennent récupérer le résultat de leur test. Suite à l’avertissement de Mediapart, qui a révélé la vulnérabilité, Francetest a immédiatement corrigé la faille

Une plateforme mal sécurisée

Fuites de données suite aux failles de sécurité de la plateforme Francetest

Le problème est apparu lorsqu’un patient a tenté de récupérer les résultats de ses tests en utilisant le lien envoyé par le pharmacien. Lorsque le patient a ouvert l’URL, il a été étonné de voir que le système de gestion de contenu open source WordPress était utilisé pour gérer des informations confidentielles. Le patient a immédiatement pris conscience du fait qu’il pouvait accéder à des documents contenant des données des patients via l’arborescence de l’URL.

Francetest n’utilise pas d’outils homologués pour envoyer les données vers le fichier SI-DEP. Le responsable de Francetest a reconnu ces failles de sécurité de sa plateforme. Il précise néanmoins que les experts en sécurité doivent actuellement déterminer si ces failles de sécurité ont été exploitées pour exfiltrer les données. La plateforme Francetest ne fait pas partie des outils homologués pour envoyer des données au fichier SI-DEP. Toutefois, son responsable, Nathaniel Hayoun, a fait une demande aux autorités sanitaires à ce sujet. 

Pin It on Pinterest