Francetest affirme que l’incident de sécurité qui a mené à la fuite des données personnelles de 700 000 personnes est « clôturé ». Pour faire un tel constant, le site gestionnaire de tests antigéniques doit apporter des preuves techniques.
Mardi 31 août, Mediapart révélait une fuite de données liée à des tests antigéniques, impressionnante tant par son volume que part le nombre d’informations sur chaque personne concernée. Les données personnelles renseignées par plus de 700 000 patients étaient exposées sur une page du site Francetest, elle-même accessible sans mot de passe ni manipulation technique. Il suffisait d’entrer une certaine URL, commune pour un site édité sur WordPress (un des logiciels de création de sites les plus utilisés), et de télécharger les fichiers.
Créé en juin 2021, Francetest se présente comme un gestionnaire de tests antigéniques, et a convaincu plus de 600 pharmacies d’utiliser son service. Concrètement, il génère le formulaire en ligne à faire remplir au patient, et automatise l’envoi des résultats vers la plateforme gouvernementale, SI-DEP, qui va les certifier.
Le lendemain des révélations, Francetest, dont le fondateur Nathaniel Hayoun est cité dans l’article de Mediapart, a émis un communiqué public affiché sur son site. L’entreprise explique qu’elle aurait pris « les mesures techniques nécessaires » pour corriger la faille, et qu’elle aurait « fait appel à des experts en cybersécurité » pour réévaluer la sécurité de ses serveurs.
Pour ce qui est des données de patients, FranceTest se montre optimiste : « Il n’existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuitées. À ce stade, nous considérons qu’il s’agit uniquement de l’avertissement d’une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance. »
Cette défense surprend, car il y a bien eu une fuite. Numerama, contacté par la personne derrière la découverte de ce gros problème, a pu confirmer à son tour les informations de Mediapart. Plusieurs fichiers CSV [un format de classeur qui peut être ouvert avec Microsoft Excel, Open Office Calc ou encore Google Sheet], que nous avons consultés, étaient bien accessibles sans aucun identifiant. Ils contiennent les informations remplies par les patients dans le formulaire distribué en amont des tests antigéniques : nom, prénom, numéro de sécurité sociale, genre, adresse, email, numéro de téléphone et date de naissance. Ils affichent aussi des informations ajoutées par les pharmaciens comme le type de test et son résultat.
Désormais, la question n’est plus de savoir s’il y a eu une fuite, mais de savoir combien de personnes ont pu y avoir accès. Et si, parmi elles, se trouvaient des individus malveillants susceptibles d’exploiter les données ou de les revendre. Interrogé par Numerama sur le détail des vérifications techniques effectuées pour s’assurer qu’aucune donnée de patient n’a été récupérée par une personne extérieure, Francetest n’a pour l’instant pas répondu.