Il fut un temps où les pharmacies vendaient des médicaments. Et puis le Covid est arrivé et a chamboulé l’écosystème mondial. Le globe a alors découvert le principe du test antigénique qui permet de savoir si vous êtes positif ou négatif à la maladie. Nos « pauvres » pharmaciens se sont donc retrouvés à transformer leurs boutiques en centre de tests, les enchaînant toute la journée jusqu’à plus soif. La chose prenant déjà du temps, la suite en prend encore plus.
Il faut en effet envoyer chaque résultat sur le SI-DEP, la plateforme sécurisée du gouvernement sur laquelle ils sont enregistrés. C’est de cette manière que sont gérées les répercussions des cas positifs, comme par exemple l’analyse et la mise en relation avec les cas contacts. Sauf que, de l’avis des principaux utilisateurs, le SI-DEP a été lancé en urgence en décembre dernier et n’est rien d’autre qu’un cauchemar d’ergonomie qui transforme chaque envoi de résultats en épreuve de force. Qu’à cela ne tienne, des entreprises extérieures ont été créés pour se positionner en bon samaritain qui prendront la tâche à leur charge contre la modique somme d’un euro. Mais comme ces entreprises ont été elles aussi montées en urgence, d’autres problèmes, de sécurité cette fois-ci, ont été découverts.
Quand le risque est non homologué
C’est le cas par exemple de la société Francetest. Fondée en janvier, elle se positionne sur ce marché nouveau. Sauf que l’entreprise a fait preuve d’une énorme négligence dans le contenu de son site, comme l’ont annoncé nos confrères de Mediapart. Il était en effet possible, jusqu’à vendredi dernier, de trouver en clair un mot de passe dans un document en accès libre sur leur site. Celui-ci vous ouvrait donc les portes des données personnelles contenues dans les dossiers des résultats de tests de plus de 700 000 personnes. Noms, prénoms, adresses, dates de naissance, numéros de téléphone et de sécurité sociale, adresse électronique… Tout était à la disposition de celui qui voulait se servir.
Cette faille a été découverte par un anonyme qui a alerté la CNIL (Commission nationale de l’informatique et des libertés) qui a tout de suite lancé des investigations. Depuis l’alerte concernant cette faille, Francetest a annoncé qu’elle travaillait en ce moment même avec des spécialistes de la cyber-sécurité pour renforcer celle de son site. L’entreprise a également tenté de réconforter tout le monde en clamant que, selon eux, il n’y avait aucune preuve jusqu’à présent qu’il y avait bien eu une fuite de données.
Si cette sous-traitance de l’envoi de données des pharmaciens n’est pas interdite, la Direction générale de la santé (DGS) a rappelé dimanche aux pharmaciens qu’il existait une liste de logiciels agréés et compatibles avec le SI-DEP. Francetest n’était pas sur cette liste. S’il s’avère que la fuite a bien eu lieu, voilà ce qui pourrait arriver aux victimes.
Identité perdue
Si un pirate a effectivement mis la main sur vos noms, prénoms et autres informations qu’il a pu trouver sur le site de Francetest, il peut faire de gros dégâts avec, comme le rappelle Gérôme Billois, expert en cyber-sécurité au cabinet de conseil Wavestone à nos confrères de Franceinfo.
Dans un premier temps, les cybercriminels peuvent « envoyer des faux emails en se basant sur les informations, les noms, les prénoms, les adresses, les numéros de sécurité sociale pour demander par exemple un paiement complémentaire ou demander la communication de la carte bancaire pour créer des fraudes.». Dans un deuxième temps, cette histoire peut finir en usurpations d’identité, puisque les données saisies sont de premières fraîcheurs, datant des derniers mois. Il est donc par exemple tout à fait possible qu’une personne puisse prendre un crédit à votre nom.
Pour le surfeur du web lambda, il devient difficile de naviguer avec sureté dans un environnement 100% protégé et c’est probablement le plus grand défi qui attend Internet sur les prochains mois.
