Faut-il s'inquiéter de la fuite de 700 000 résultats de tests antigéniques ?

"Mediapart a découvert une fuite de données sur le site d'un gestionnaire de tests antigéniques. Plus de 700 000 formulaires liées aux tests étaient accessibles à cause de plusieurs bugs grossiers. Pour l'instant, les conséquences de l'incident restent floues.
Mediapart a révélé, mardi 31 août, la fuite de 700 000 résultats de tests antigéniques réalisés en France. Une de leurs sources a découvert plusieurs bugs sur le site appelé Francetest, qui permettaient d’accéder aux données personnelles renseignées par les personnes testées : nom, prénom, genre, date de naissance, numéro de Sécurité sociale, adresse mail, numéro de téléphone et adresse postale. Ce lot était couronné par le résultat du test antigénique du patient.
Francetest, créé en juin 2021, vend un service unique. Il propose aux pharmacies de transférer les données de patients vers le fichier SI-DEP, géré par le ministère de la Santé. Ce dernier appose une certification sur le dépistage et le met à disposition de la personne testée. Concrètement, la pharmacie s’appuie sur Francetest pour numériser le formulaire de test, envoyer les emails aux patients pour les prévenir de la publication des résultats, et gérer les envois vers SI-DEP.
Mediapart rapporte que même si l’entreprise est toujours en attente de sa demande d’habilitation officielle, elle a pu effectuer ce rôle d’intermédiaire entre plusieurs centaines de pharmacies et la plateforme du gouvernement sans être inquiétée. Pour verser les données sur SI-DEP, Francetest demande aux pharmacies de renseigner leur identifiant e-CPS (un dispositif d’authentification réservé aux professionnels de santé). Autrement dit, il effectue le transfert sous l’apparence de la pharmacie.
Francetest a indiqué au média d’investigation qu’il avait résolu les problèmes de sécurité entre le 27 août et le 30 août et qu’il avait pris contact avec des professionnels de cybersécurité pour s’assurer que l’incident était clos. Pour l’instant, aucune preuve n’indique que les données aient pu être récupérées par d’autres personnes..." Lire la suite