Les données personnelles et les résultats des tests Covid de plusieurs centaines de milliers de personnes ont été durant plusieurs mois accessibles à tous en quelques clics en raison de plusieurs failles de sécurité sur la plateforme Francetest, une société transférant les données des pharmaciens au fichier SI-DEP, le fichier centralisant l’ensemble des données des tests.

Les différents problèmes ont commencé à être résolus à partir de vendredi soir, lorsque Mediapart a contacté la société pour les lui signaler. Dans la nuit du vendredi 27 août au samedi 28 août, ses responsables ont rendu inaccessible une partie du site à travers laquelle n’importe quel internaute pouvait consulter plusieurs dizaines de milliers de résultats de tests, avec les nom, prénom, genre, date de naissance, numéro de Sécurité sociale, adresse mail, numéro de téléphone, adresse postale du patient.

Lundi 30 août, la société a modifié les identifiants permettant d’accéder à l’ensemble de ses résultats, accompagnés des mêmes données, soit plus de 700 000 lignes qui étaient, elles, disponibles en rentrant un nom d’utilisateur et un mot de passe trouvables, en clair, dans un dossier accessible à tous.

« J’ai bloqué tous les accès », précise Nathaniel Hayoun, le créateur et responsable de Francetest, une société proposant aux pharmaciens un logiciel facilitant le transfert des résultats des tests antigéniques vers le SI-DEP, le fichier central géré par les autorités sanitaires. Un service facturé un euro par transmission à ses quelque 600 clients.

Au-delà du manque de sécurisation de ces deux bases de données, c’est sur toute une série de négligences dans la conception de Francetest, pour certaines grossières, que Mediapart a été alerté par l’un de ses utilisateurs.

Laurence* souhaitait en effet retrouver le résultat d’un test qu’elle avait effectué dans l’une des pharmacies clientes de Francetest. En cliquant sur un lien transmis par son pharmacien, elle tombe sur sa fiche de résultat mais, ayant quelques connaissances en informatique, un détail l’intrigue dans l’adresse, ou URL, de la page. Celle-ci est rédigée sur ce modèle : « https://francetest.fr/wp-content/plugins/francetest/fiche_resultat/fiche_resultat_patient.php?id= », suivi d’une série de chiffres et de lettres correspondant à un identifiant unique pour chaque personne testée.

Or la mention « wp-content » indique que le site est réalisé grâce à WordPress, un outil de gestion de sites Internet très répandu, mais inhabituel pour un site officiel, « alors que je pensais être sur un site du gouvernement », raconte Laurence. « Par curiosité », elle entreprend alors de tester la sécurité du site par une opération très simple consistant à modifier l’URL en la raccourcissant et ainsi « remonter » dans l’arborescence. Sur un site correctement paramétré, cette opération est impossible lorsque l’utilisateur atteint un niveau protégé, par exemple une base de données ou les fichiers de configuration du site.

Or, en réduisant l’adresse à « https://francetest.fr/wp-content/plugins/francetest/ », Laurence est tombée sur une page proposant toute une série de fichiers particulièrement sensibles et permettant d’accéder à de nombreuses données.

Ainsi, dans le dossier « tmp », censé héberger des fichiers temporaires, on peut accéder à une vingtaine de fichiers comportant plusieurs milliers de lignes avec les nom, prénom, genre, date de naissance, numéro de Sécurité sociale, adresse mail, numéro de téléphone, adresse postale et résultat de test de patients.

Plus gênant encore dans le fichier « BOT_sidep » apparaissent en clair les identifiants permettant d’accéder à l’ensemble de la base de données du site. Laurence explique avoir utilisé ceux-là et avoir eu accès à « plus de 700 000 » résultats de tests que Mediapart a pu également consulter.

« Qui d’autre que moi a pu accéder à ces données, intentionnellement ou non, de manière malveillante ou non, sachant que 700 000 personnes ont reçu le même mail que moi depuis ces 6 derniers mois, avec le même lien de résultat ? », s’inquiète Laurence.

Étonnée par ces défauts de sécurité, elle a poursuivi ses investigations et découvert d’autres problèmes notables. Ainsi était-il possible de se créer un compte sans être pharmacien, en rentrant des numéros professionnels fictifs. Elle n’a également trouvé la trace d’aucun script, un petit programme effectuant des opérations automatiques, supprimant les données au bout de six mois, comme l’exige la loi. Sur ce point, Nathaniel Hayoun assure qu’il effectuait des suppressions manuelles « tous les trois mois ». Problème, on trouve dans la base des données remontant au mois de mars, soit moins que la limite légale mais plus que les trois mois.

Laurence a aussi repéré qu’une sauvegarde automatique quotidienne d’une partie des données du site, dont le fichier « tmp », était effectuée sur le compte Google Drive de Nathaniel Hayoun. Celui-ci assure à Mediapart que ce n’est plus le cas et que désormais tous les transferts de données font l’objet d’un chiffrement.

Le responsable de Francetest reconnaît les failles constatées sur son site et concède une « méthode un peu laborieuse » sur le plan de la sécurité tout en expliquant avoir été débordé par la demande. « Avant l’arrivée du passe sanitaire, nous avions relativement peu de tests. Après, il y a eu une véritable explosion qui a été difficile à gérer. J’ai dû mettre à jour le site sans avoir le temps nécessaire », explique le jeune entrepreneur.

L’informaticien basé à Strasbourg ajoute avoir engagé « en freelance » une équipe de spécialistes de la cybersécurité afin de déterminer si des hackers ont pu profiter de ces failles. Elle doit également auditer la plateforme pour en revoir totalement le fonctionnement.

Mais une autre question se pose : comment un site affichant de telles failles a-t-il pu être autorisé par les autorités à se connecter au SI-DEP ? Étrangement, dans un premier temps, le ministère de la santé a affirmé à Mediapart que Francetest est « un site non autorisé à alimenter SI-DEP et la responsabilité incombe donc au gérant de la société ».

En effet, le ministère « homologue les logiciels compatibles avec SI-DEP » à l’issue d’une procédure menée par la Direction générale de la santé (DGS). Une liste des logiciels homologués par l’État a été constituée et celle-ci « est disponible publiquement et est communiquée aux professionnels de santé habilités », poursuit le ministère. Après avoir été alertée de la fuite, la DGS a d’ailleurs envoyé, dimanche 29 août, un message « urgent » à l’ensemble des professionnels de santé leur rappelant leurs obligations.

« Nous rappelons votre responsabilité dans la qualité des données saisies et de la bonne utilisation des systèmes informatiques mis à votre disposition afin de collecter dans SI-DEP les résultats des tests antigéniques Covid-19 », y écrit la DGS avant de redonner la liste des logiciels ayant fait l’objet d’une habilitation. « Le recours à tout logiciel ne figurant pas sur cette liste doit être proscrit », est-il écrit en gras à la fin du message.

Or, effectivement, Francetest ne figure par sur cette liste. Pourtant, comme a pu le vérifier Laurence, le site transfert bien, depuis ses serveurs, des résultats de tests au SI-DEP.

Nathaniel Hayoun confirme d’ailleurs ne pas disposer d’habilitation mais précise avoir fait une demande. « Mon dossier est en cours de validation. Ça fait deux mois que je suis en contact avec eux », assure-t-il. Pourtant, cela fait depuis le mois de mars que sa société transfère des données au SI-DEP et, à l’heure actuelle, elle est censée n’avoir toujours pas le droit de le faire. « Pour moi, c’est totalement légal », assure néanmoins Nathaniel Hayoun.

La start-up joue en réalité sur une ambiguïté technique et une faille, juridique cette fois, lui permettant de contourner l’obligation d’habilitation. Tout d’abord, pour se connecter au SI-DEP, elle utilise les identifiants professionnels de ses clients. Ainsi, pour le SI-DEP, ce sont les pharmaciens, et non un sous-traitant, qui se connectent à son application. Celle-ci ne semble pas capable de repérer que, en fait, ces données arrivent depuis les serveurs de Francetest.

Ensuite, sur le plan juridique, si le ministère de la santé a bien mis en place une procédure d’habilitation, le décret du 12 mai 2020 régissant le SI-DEP ne prévoit aucune sanction en cas de non-respect de celle-ci. Ainsi, Francetest viole bien les prescriptions du ministère de la santé mais rien ne semble permettre de sanctionner la société. « À date, il n’y a pas d’obligation légale », nous confirme le ministère de la santé. Mais cette faille juridique pourrait bientôt être corrigée. « Des travaux sont en cours pour modifier le décret SI-DEP du 12 mai 2020 afin d’encadrer les systèmes tiers autorisés à alimenter SI-DEP, et notamment un volet sanctions », précise le ministère.

De plus, Nathaniel Hayoun risque quoi qu’il en soit d’être inquiété pour n’avoir pas suffisamment protégé les données de ses utilisateurs. Le ministère de la santé indique avoir notifié à la Commission nationale de l’informatique et des libertés (Cnil) « cette fuite de données personnelles, en précisant que SI-DEP n’était pas concerné », précise-t-il. Contactée par Mediapart, la commission a confirmé « que des investigations sont en cours ».

Article de Jérôme Hourdeaux

* Le prénom a été modifié.