À la Une

Fuites de données : autopsie d'un bug

Par

Publié le 07/09/2021

Article réservé aux abonnés

Le résultat des tests Covid et les données personnelles de 700 000 personnes étaient facilement accessibles, en quelques clics, en raison de failles sur le logiciel de Francetest. Comme d’autres, cette société offre un service aux professionnels habilités à réaliser les tests pour simplifier l’entrée des résultats dans la base de données gouvernementale SI-DEP. Si la brèche semble réparée depuis le 27 août, elle pose la question de la sécurité des données patients et a incité le ministère de la Santé à publier, le 29 août, une liste de plateformes autorisées… sur laquelle ne figure pas Francetest.

L'opportunisme commercial de certaines start-up fait encourir un risque aux pharmaciens
Crédit photo : SPL/PHANIE

L’affaire fait grand bruit. À l’heure où la dématérialisation est le maître-mot et où les tâches liées à la lutte contre le Covid-19 se multiplient en pharmacie, les offres de sociétés pour faciliter les missions chronophages sont alléchantes.

En l’occurrence, Francetest, une société strasbourgeoise récemment créée, propose de « simplifier la gestion des tests antigéniques » en facilitant le transfert de données de patients vers la plateforme gouvernementale sécurisée SI-DEP. Si les professionnels habilités à réaliser les tests Covid peuvent directement entrer les résultats obtenus sur SI-DEP, ils regrettent son manque d’ergonomie et le temps perdu à chaque utilisation. C’est pourquoi l’offre de sociétés comme Francetest remporte un certain succès auprès des pharmaciens, ces derniers réalisant 80 % des plus de 5 millions de tests hebdomadaires.

Hélas, le 31 août, le site d’informations « Mediapart » révélait une faille qui permettait d’accéder aux données personnelles (nom, prénom, date de naissance, adresse, numéro de téléphone, adresse e-mail, numéro de Sécurité sociale, résultat du test Covid) de 700 000 personnes jusqu’à ce que Mediapart informe lui-même Francetest de la brèche le 27 août dernier. La société a remédié au problème dans la nuit du 27 au 28 août avant de réinitialiser tous les mots de passe, vérifier les mises à jour des pare-feux et requérir l’assistance d’experts en cybersécurité pour « réaliser des tests de pénétration » sur ses serveurs.

À ce jour, il n’est pas possible de savoir si la brèche a été utilisée et si des données patients ont ainsi été récupérées. La Commission nationale de l’informatique et des libertés (CNIL) a lancé une enquête après avoir reçu un signalement anonyme le 27 août et précise que Francetest lui a bien notifié l’incident. Elle confirme que « les corrections ont été apportées et que les données ne sont plus librement accessibles ». Sans préciser le temps nécessaire à ses investigations, la CNIL ajoute qu’à leur issue elle « pourra, le cas échéant, faire usage de ses pouvoirs de sanction, notamment une amende pécuniaire pouvant aller jusqu’à 4 % du chiffre d’affaires des organismes concernés ou 20 millions d’euros ».

Les autorités alertées

D’après l’article publié par « Médiapart », la faille a été découverte par hasard par une patiente qui souhaitait accéder au résultat de son test Covid grâce au lien envoyé par son pharmacien. Cette dernière aurait été surprise de constater l’utilisation de Wordpress, un outil de gestion de contenu open-source peu recommandé pour la gestion de données sensibles, et la possibilité de remonter l’arborescence du site Francetest lui permettant d’accéder aux données d’autres patients. Elle aurait aussi découvert la possibilité de créer un compte sans être pharmacien en entrant un numéro professionnel fictif.

« Cela fait des semaines et des semaines que nous alertons les autorités sur ces sociétés qui se présentent comme labellisées et facilitent la tâche des pharmaciens pour aller sur le SI-DEP. Nous avons absolument besoin que les autorités nous fournissent un outil permettant de transmettre les données au SI-DEP avec notre logiciel métier, qui est sûr et agréé », martèle Philippe Besset, président de la Fédération des syndicats pharmaceutiques de France (FSPF). C’est aussi l’avis de Pierre-Olivier Variot, président de l’Union des syndicats de pharmaciens d’officine (USPO), qui regrette l’absence d’un « outil fiable et interconnecté avec notre logiciel métier » car « on demande aux pharmaciens d’évoluer rapidement et nos LGO ne suivent pas ». De fait, « il est difficile d’en vouloir aux confrères qui cherchent des solutions ».

Un niveau de protection insuffisant

C’est d’ailleurs à la demande des syndicats que la Direction générale de la santé (DGS) a envoyé un message « DGS-Urgent » le 29 août listant les 10 logiciels agréés pour l’envoi des données sur SI-DEP, tel que prévu par le décret du 12 mai dernier, et précisant que « le recours à tout logiciel ne figurant pas sur cette liste doit être proscrit ». Francetest est absent de cette liste. Selon son dirigeant, Nathaniel Hayoun, le dossier de validation est en cours. Toujours est-il que cette liste des sites homologués qui sera mise à jour au besoin, était, jusqu’au 29 août, inconnue des pharmaciens. « On peut difficilement leur faire des reproches avant cette date. Mais depuis ce DGS-Urgent, ils doivent absolument se limiter à cette liste », souligne Philippe Besset.

Mais de son propre avis, même les sites figurant sur cette liste n’apportent pas le niveau de sécurité nécessaire. C’est aussi l’opinion de Denis Supplisson, vice-président du collège pharmacien de la Fédération des éditeurs d’informatique médicale et paramédicale ambulatoire (FEIMA), car l’agrément ne valide que « la capacité à envoyer les informations recueillies de façon complète sur SI-DEP » et non un éventuel niveau de sécurité de protection des données. Le problème reste donc entier alors que des offres comme celle de Francetest pullulent et que les pharmaciens sont sollicités quotidiennement pour les utiliser.

Aucune ne permettrait à l’heure actuelle d’atteindre un niveau suffisant de protection. « Face à ces offres, le pharmacien doit se montrer particulièrement prudent, insiste Denis Supplisson. Ce n’est pas parce que la société a accolé à son nom des termes comme « France », « pharma » ou « secure » qu’on peut lui faire confiance, il faut vérifier la qualité de cet intermédiaire. Étant donné les impératifs de sécurité concernant les données personnelles et les données de santé, une société de deux personnes ne pourra y satisfaire, mieux vaut se tourner vers une entreprise connue et reconnue dont les salariés ne travaillent pas dans leur garage. Je ne dis pas que c’est facile pour le pharmacien mais il est responsable du traitement des données, même lorsqu’il fait appel à une société, il a donc des obligations quant à leur protection et risque des sanctions. »

Mélanie Mazière

En complément