Discussion :

[Olivier Famien]

Plus de 700 000 résultats de tests antigéniques Covid-19 accessibles en quelques clics sur la toile
à cause de plusieurs failles découvertes sur le site Francetest chargé de transférer les résultats de tests Covid vers le système SI-DEP

Si vous avez effectué des tests antigéniques Covid-19 en France et que vous n’adhérez pas au principe du « je n’ai rien à cacher », alors vous avez de quoi être inquiets. Depuis quelques jours, des failles béantes détectées sur le site Francetest ont permis de révéler que les résultats de plus de 700 000 personnes étaient accessibles à n’importe quel internaute sur la toile depuis plusieurs mois jusqu’à récemment. Que ce soit les nom, prénom, date de naissance, numéro de Sécurité sociale, adresse mail, numéro de téléphone, etc., et résultats de tests Covid, toutes ces informations pouvaient être accessibles en quelques clics sur le site de Francetest.

Retour sur les faits qui ont mené à la découverte des données exposées en ligne

Cette heureuse découverte, on la doit à un utilisateur qui, après avoir effectué un test antigénique Covid-19 auprès d’une pharmacie liée au sous-traitant Francetest, est allé consulter le résultat de son test en ligne en utilisant le lien qui lui a été transmis par le pharmacien. En cliquant sur le lien qui lui a été fourni, l’utilisateur a été redirigé vers une adresse web de Francetest contenant une chaîne de caractères correspondant à première vue à des identifiants. En observant l'adresse, l'utilisateur a réalisé qu’il s’agissait d’un site conçu avec le système de gestion de contenu WordPress. Nous précisons au passage que l’utilisateur s’attendait à avoir affaire à un site web du gouvernement. Mais force est de constater qu’il n’en était rien.

En modifiant l’URL, l’utilisateur est parvenu à remonter à un répertoire contenant des identifiants permettant d’avoir accès à l’ensemble de la base de données du site. En utilisant ces identifiants, il a eu accès à plus de 700 000 résultats de tests Covid-19 liés aux nom, prénom, sexe, date de naissance, adresse mail, numéro de Sécurité sociale, etc., des utilisateurs. Au-delà des failles à répétition découverte dans le système de gestion de contenu WordPress, c’est le lieu de souligner que le développeur de Francetest a littéralement conçu ce site comme s’il devait partager des informations publiques.

En plus des résultats de tests Covid-19 qui étaient accessibles en clair, l’utilisateur a également constaté qu’il était possible de créer un compte sans être un professionnel habilité à faire des tests Covid, et cela, en saisissant simplement n’importe quel numéro dans le champ réservé à la saisie des numéros professionnels. En outre, en fouillant un peu plus, l’utilisateur a détecté que certaines données personnelles étaient sauvegardées automatiquement chaque jour en clair sur le compte personnel de Nathaniel Hayoun, le fondateur de Francetest.

Réponse de Francetest à la suite de l’incident

À la suite de cet incident, Francetest a publié le communiqué ci-dessous :

« Vendredi 27 août, Francetest a été alerté de la présence d’une faille de sécurité sur ses serveurs, ce à quoi l’entreprise y a remédié immédiatement. Francetest entend apporter les précisions suivantes, consécutivement à la publication d’un certain nombre d’articles de presse qui ont rapporté des informations inexactes :

Il n’existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuité. À ce stade, nous considérons qu’il s’agit uniquement de l’avertissement d’une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance.

Aucune sauvegarde de données de patients n’a été stockée sur le service Google Cloud. Seul un backup de données de l’application était effectué quotidiennement.

Francetest, après avoir appréhendé l’existence de cette faille, a pris immédiatement les mesures techniques nécessaires pour la corriger, et plus généralement, a pris un certain nombre de mesures destinées à renforcer la sécurité de notre service : réinitialisation de tous les mots de passe, vérification de la mise à jour des pare-feux, etc. – Francetest, avec l’assistance d’experts en cybersécurité, a fait et fait toujours actuellement, réaliser des tests de pénétration sur ses serveurs.

À ce jour et à cette heure, Francetest a tout lieu de considérer que cet incident est techniquement clôturé. Enfin, sur le plan juridique et éthique, toutes mesures conservatoires ont également été prises : notification à la CNIL, information en cours des pharmaciens et des patients concernés ».

Les Français devraient-ils être inquiets ?

Au regard de la gestion approximative des données sanitaires des résidents français et surtout face au rôle de surveillance que le gouvernement français n’a pas assuré dans la collecte et le transfert des données vers son système SI-DEP (plateforme gouvernementale où sont systématiquement enregistrés les résultats des laboratoires de tests Covid-19), des inquiétudes se soulèvent auprès des personnes ayant effectué les tests antigéniques Covid-19. Pour rassurer les utilisateurs, le gouvernement a publié le 26 août dernier une liste actualisée des logiciels compatibles avec le SI-DEP pour le transfert des tests antigéniques uniquement. Sont autorisés à transférer les données vers le SI-DEP, les logiciels suivants : éOS (Fédération Française de Sauvetage et de Secourisme), Ordoclic (Ordoclik »), Pharmacovid (Pharmasoft SAS), Fastcovid (SIL-LAB), Bimedoc (Bimedoc), Magenet (MagentineHealthcare), Izymeet (ITEKCOM), Libheros (Lib-heros SAS), RDV by QuizCoach (Quiz Coach) et VALWIN Pharma (VALWIN).

En se basant sur la liste publiée par la Direction générale de la santé (DGS), Francetest est clairement en situation d’illégalité. Cependant, l’entreprise créée en janvier envoie des données vers le SI-DEP depuis le mois de mars en toute impunité. Dans sa publication, la DGS déclare que « Le recours à tout logiciel ne figurant pas sur cette liste doit être proscrit ». Mais le problème est qu’une chose est de déclarer et une autre est de veiller à ce que cette liste soit respectée. Ne serait-il pas mieux de mettre des balises en veillant à ce que les logiciels qui se connectent au SI-DEP soient seulement ceux figurant dans cette liste ? La décision revient au gouvernement français.

Comment cet incident a pu se produire malgré certaines balises mises en place pour l’éviter ?

Techniquement, certaines dispositions permettent de limiter l’usage de n’importe quel logiciel pour envoyer des données vers le SI-DEP. Toutefois, ces dispositions ont été contournées par Francetest. En effet, pour envoyer des données vers le SI-DEP, il faut disposer d’une autorisation. Sachant cela, Nathaniel Hayoun, qui facture le transfert de chaque formulaire à un euro, aurait utilisé les identifiants professionnels de ses clients pour se connecter au SI-DEP et envoyer les données. Cela signifie qu’en plus du gouvernement et du sous-traitant qui ont été défaillants dans cette affaire, le pharmacien qui donne ses identifiants est également fautif. Est-ce pour alléger la facture que ce dernier a agi ainsi ?

Une autre disposition qui pourrait convaincre les pharmaciens et les autres corps de métier chargés de superviser les tests antigéniques — ainsi que les sous-traitants chargés de manipuler les données personnelles — de ne pas prendre à la légère la protection des données personnelles des patients serait d’ajouter des sanctions lors de constat de négligence. Mais à ce niveau, le gouvernement et les législateurs sont encore à la traîne. Le décret du 12 mai 2020 relatif à l’envoi des données vers le SI-DEP ne propose aucune sanction en cas de manquement lors de l’envoi des données vers le SI-DEP. Pour rassurer le public, le gouvernement français déclare qu'il travaille à corriger ce problème en envisageant d'ajouter des sanctions pour les contrevenants au traitement des données envoyées au SI-DEP. Mais en attendant, les résidents français devront juste croiser les doigts en espérant qu’une fuite de données encore plus importante ne paraisse pas au grand jour.

Source : France 24, Enregistrement des résultats SI-DEP, Communiqué de Francetest, Décret relatif au traitement SI-DEP

Et vous ?

Que vous suggère cette exposition des données sanitaires des résidents français sur la toile ?

Êtes-vous inquiets pour la confidentialité de données sanitaires ?

Selon vous, quelles solutions le gouvernement français devrait-il mettre en place pour éviter ce genre d’incident ?

Voir aussi

France : le gouvernement met en place la surveillance des réseaux sociaux par le fisc,visant à collecter automatiquement certaines données, afin de repérer d'éventuels fraudeurs
533 millions de numéros de téléphone et de données personnelles d'utilisateurs de Facebook ont été divulgués en ligne, 20 millions appartiennent à des utilisateurs en France
Des pirates informatiques ont divulgué en ligne des données volées sur le vaccin covid-19 de Pfizer, a annoncé l'Agence européenne des médicaments
Une base de données de 22 Go contenant 56 millions de données personnelles sur des personnes vivant aux États-Unis a été exposée en ligne sur un serveur exploitant une adresse IP chinoise
Un milliard d'images médicales sont exposées en ligne, car de nombreux cabinets médicaux ne tiennent pas compte des meilleures pratiques en matière de sécurité

[SQLpro]

Tiens, tiens, et dans quoi sont stockées les données de WordPress ? Dans MySQL le SGBD le moins sécurisé au monde.....

[Fagus]

1€ le formulaire, donc 700 000€ de brut pour écrire et gérer un logiciel de formulaires qui accepte n'importe quel chiffre dans le login professionnel, et avec les identifiants des bases en clair en accès libre sur le serveur, ça laisse rêveur.
Sans compter que malgré l'illégalité complète du système, il n'y aurait pas de sanction prévue.
Je me demande presque pourquoi je fais un métier honnête !

[sergio_is_back]

Tiens, tiens, et dans quoi sont stockées les données de WordPress ? Dans MySQL le SGBD le moins sécurisé au monde.....

Ça faisait longtemps que je t'avais pas vu faire preuve de mauvaise fois à propos de tout ce qui n'est pas SQL SERVER et M$ en général

En modifiant l’URL, l’utilisateur est parvenu à remonter à un répertoire contenant des identifiants permettant d’avoir accès à l’ensemble de la base de données du site.

1. Visiblement le serveur HTTPS n'était pas sécurisé (puisque en modifiant l'URL on accède n'importe où, même dans des répertoires qui normalement ne doivent pas être publics)
2. Donc de ce fait les identifiants d'accès à la base sont accessibles depuis internet

Tu peux mettre la meilleure base du monde si tu laisse les identifiants permettant de se connecter au vu du monde entier...

3. En ce moment M$ n'a pas trop à la ramener avec les dernières failles concernant Exchange et Azure cette année...

[sergio_is_back]

En outre, en fouillant un peu plus, l’utilisateur a détecté que certaines données personnelles étaient sauvegardées automatiquement chaque jour en clair sur le compte personnel de Nathaniel Hayoun, le fondateur de Francetest.

Il avait peut être l'intention de les revendre sur le dark net dans quelques mois pour assurer sa retraite... !!!!

Voila ce arrive quand on confie des sites aussi important à des pignoufs !!!!

Francetest c'est juste un mec tout seul (société officiellement immatriculée au RCS le 10/06/2021 même si le site est en ligne depuis janvier 2021
Pourquoi confier ce développement aussi important à un mec tout seul dans son coin ? Qui visiblement n'en aucune en matière de sécurité !

De plus quand on regarde, il se trouve que le serveur d'hébergement est au Royaume Uni, il aurait pu tout aussi bien se trouver en Russie

[BleAcheD]

Étonnant ! je tombe des nues.

[kain_tn]

Que vous suggère cette exposition des données sanitaires des résidents français sur la toile ?

Que comme d'habitude on nous force à confier nos données à des tocards.

Êtes-vous inquiets pour la confidentialité de données sanitaires ?

Évidemment. Sans compter que l'on parle ici de nom, prénom, adresse, numéro de téléphone et numéro de sécurité sociale. Même sans les résultats des tests, c'est déjà très grave.

Selon vous, quelles solutions le gouvernement français devrait-il mettre en place pour éviter ce genre d’incident ?

Ne pas laisser des données accessibles en ligne. En ce moment en Suisse il y a plusieurs communes dont les données des habitants ont fuité sur Internet. Le problème de fond c'est "pourquoi est-ce que ces données étaient récoltées et centralisées par les communes".

3. En ce moment M$ n'a pas trop à la ramener avec les dernières failles concernant Exchange et Azure cette année...

Tu oublies la dernière zéro-day pour laquelle il suffit de brancher une souris Razer pour devenir administrateur du poste (Windows 10 & 11)

[tanaka59]

Bonjour,

Que vous suggère cette exposition des données sanitaires des résidents français sur la toile ?

La "folie bureaucratique" dans toute sa splendeur ... On démultiplie le nombre de d'interlocuteurs. Au final entre les différentes strates entre le pharmacie et l'user final > chacun y va de sa spécialité / conseil pour avoir accès à la data ... Au plus il y a de ligne a facturer , au plus il y a de €€€ à se faire .

Dans de telles conditions fallait s'en douter qu'un site fuiterai ... C'est la mille feuille administratif et décisionnaire qui est à blâmer dans le cas présent . Le tout avec un soupçon de m'enfoutisme, d'incompétence et de professionnel verreux qui ont refusés de voir la réalité en face, juste pour s'en mettre plein les poches.

Déjà pour éviter les fraudes, pourquoi pas une GED uniquement accessible sur le site de la sécu ou le DMP ? Le dossier médical partagé est la justement, pour tracer tous les événements de santé du patient .

En temps de covid , sur le DMP on doit encorer pousser à la mano son certificat de vaccination , ainsi que la date des injections ! Rien n'arrive automatiquement dedans ... C'est moi ou le gouvernement à loupé le coche avec ce truc ?

A non on me souffle dans l'oreillette que pour des questions de facilité ... on développer un doublon "Tousanticovid" .

Êtes-vous inquiets pour la confidentialité de données sanitaires ?

Tout a fait

Selon vous, quelles solutions le gouvernement français devrait-il mettre en place pour éviter ce genre d’incident ?

> faire le ménage dans le mille administratif
> utiliser les web services déjà existant (pour des raisons politiques chaque majorité préfère détricoté ce qu'à la précédente ... ), DMP est pas le pour faire beau ...
> arrêter de privatiser la GED à outrance ( et les ordonnances, et les test pcr, et les test truc , et les certificats de vaccination ... ) A chaque document une entreprise créée ... Pour enfoncer le clou selon le département ou vous êtes il y ades incompatibilité entre entreprises qui gère et transmission des ordonnances . Un marseillais en vacances à Lille qui va chez le toubib, ne pourra pas forcement voir son ordonnance en pharmacie dans le sud ... Bah wé les logiciels ne sont pas interconnectés . Le presta change d'un département/région à l'autre , un comble !

On invite les français à télécharger tousanticovid et à montrer le qr code ... Bon il y a encore plus simple et pas besoin de s’inscrire ou de télécharger de truc et des machins .

Avoir un smartphone qui peut afficher les pdf
Télécharger le certification de vaccination sur le site ameli.
Le certificat se limite à un pdf numérique stocké sur le téléphone , pas besoin d'appli ou de création de compte ... Certes c'est moins vendeur , pourtant tout aussi simple et efficace .

On dirait que tout est fait que pour le l'administré soit "au service" et "au garde a vous" de l'administration ... C'est à l'administration de faire preuve de moins de rigidité ...

[sergio_is_back]

Avoir un smartphone qui peut afficher les pdf
Télécharger le certification de vaccination sur le site ameli.
Le certificat se limite à un pdf numérique stocké sur le téléphone , pas besoin d'appli ou de création de compte ... Certes c'est moins vendeur , pourtant tout aussi simple et efficace .

C'est ce que j'ai fait !

[cdubet]

Le gars a apparement monté le site tout seul et a facturé plus de 700 000€
Il etait surement pas un pro de la securité mais il s en moquait, puisque l objectif c etait de facturer. Il a les compétances (absence de srupule, cupidité) pour creer une SSII ;-)

Le pire c est que le site en question etait là car rentrer les donnees dans le logiciel officiel est trop compliqué/consommateur de temps pour les pharmaciens
Donc rien de necessaire à priori

[shenron666]

1. Visiblement le serveur HTTPS n'était pas sécurisé (puisque en modifiant l'URL on accède n'importe où, même dans des répertoires qui normalement ne doivent pas être publics)

certains pensent qu'en étant httpS ils n'ont rien à faire pour sécuriser...

Voila ce arrive quand on confie des sites aussi important à des pignoufs !!!!

Francetest c'est juste un mec tout seul (société officiellement immatriculée au RCS le 10/06/2021 même si le site est en ligne depuis janvier 2021
Pourquoi confier ce développement aussi important à un mec tout seul dans son coin ? Qui visiblement n'en aucune en matière de sécurité !

un "mec" tout seul pourquoi pas mais compétent
j'ai été seul sur plusieurs projets et jamais je n'ai fait ce genre de bétise
j'ai même mis des projets en retard car je démontre le risque autant financier que moral pour la boite à ne pas sécuriser correctement

[byrautor]

C'est grave docteur ?