Une plateforme non homologuée par l’État français a exposé les résultats de plus de 700 000 tests antigéniques

Une application nommée Francetest a exposé les résultats de plus de 700 000 tests antigéniques pour le COVID-19.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Ce site Web propose aux pharmaciens de communiquer les résultats des tests qu’ils ont menés vers le SI-DEP (la base de données officielle de l’état centralisant les informations sur les dépistages). Cependant, Francetest ne fait pas partie des plateformes homologuées par le gouvernement.

La fuite de données contient (en plus du résultat des tests) au moins les informations personnelles suivantes :

• Le nom et le prénom de la personne testée ;
• Sa date de naissance ;
• Ses numéros de téléphone ;
• Son adresse ;
• Son adresse email ;
• Son numéro de sécurité sociale.

Il n’est cependant pas possible pour l’heure de savoir si ces informations ont été récupérées par des individus malveillants. Cependant, bien que Francetest mette en avant ce point sur son site Web, l’hypothèse n’est pas exclue.

L’utilisateur ayant découvert la fuite de données souhaitait retrouver le résultat de son test. Cependant, devant le format de l’URL que lui avait transmis son pharmacien, l’utilisateur a remarqué que le site n’était pas un site gouvernemental et en raccourcissant l’URL, il a pu accéder à la liste des fichiers stockés sur le répertoire wp-content du site, qui était exposé publiquement sur Internet. Dans les fichiers de ce répertoire, on retrouvait notamment plusieurs fichiers listant les informations personnelles citées ci-dessus, mais également un fichier contenant les identifiants permettant d’accéder à une base de données.

Parmi les autres manquements à la sécurité constatés, on retrouve notamment l’absence de la suppression des données après 6 mois (ce qu’exige la loi), mais aussi qu’une sauvegarde automatique quotidienne était réalisée sur le Google Drive du créateur de Francetest.

De telles informations pourraient être utilisées par des attaquants afin de réaliser des campagnes de phishing ciblées. De plus, le numéro de sécurité sociale permet d’accéder à de nombreuses applications du gouvernement ; l’obtention de ce dernier peut potentiellement faciliter la compromission du compte des personnes concernées sur ces services.

La Direction Générale de la Santé (DGS) a communiqué aux pharmaciens un email rappelant à ces derniers la liste des logiciels agréés pour communiquer les résultats de tests au SI-DEP. De plus, la DGS aurait alerté depuis plusieurs semaines les autorités au sujet de « sociétés qui se présentent comme labellisées et facilitent la tâche des pharmaciens pour aller sur le SI-DEP ».

Le responsable de Francetest a déclaré que des experts en sécurité menée actuellement des investigations afin de déterminer si la faille a été exploitée par de potentiels individus malveillants. La loi contraint l’entreprise à contacter les personnes affectées si la faille de sécurité s’avère représenter un risque élevé pour ces dernières. Le journal en ligne Mediapart, ayant divulgué l’existence de cette vulnérabilité, indique que celle-ci aurait été corrigée depuis sa découverte.

Note : Nous effectuons ces recherches dans le cadre du service Serenety délivré par le CERT-XMCO, ce qui permet à nos clients d’être avertis au plus vite de ces problèmes et de les corriger avant qu’ils ne puissent être exploités par des attaquants.

Références

Covid-19 : une fuite massive de résultats de tests antigéniques
Faut-il s’inquiéter de la fuite de 700 000 résultats de tests antigéniques ?
Covid-19 : des centaines de milliers de résultats de tests antigéniques étaient accessibles en ligne
Une faille informatique rend accessible les données personnelles de milliers de personnes testées pour le Covid-19