Selon Mediapart, « Plus de 700 000 résultats de tests, et les données personnelles des patients, ont été durant des mois accessibles en quelques clics en raison de failles béantes. D’après le média, “L’alerte a été lancée par une patiente qui a voulu récupérer un résultat d’analyse via un lien qui lui avait été fourni. Elle a alors réalisé qu’avec quelques manipulations de l’adresse URL, elle pouvait accéder à une énorme base de données. »
Cette faille s’apparente à une vulnérabilité de type “insecure direct object references”, très fréquente sur les plateformes web. Busra Demir, Senior Solutions Architecte chez HackerOne, commente :
“Une référence directe d’objet non sécurisée (IDOR) est une vulnérabilité très courante. Pour les entreprises du retail et de e-commerce, les vulnérabilités IDOR représentent 15 % des paiements de primes. Il s’agit de la vulnérabilité la plus fréquente au sein des plateformes des administrations publiques (18 %), du secteur médical (36 %) et des systèmes dédiés aux services professionnels (31 %). Ces vulnérabilités permettent d’accéder au contenu suivant (post / page web / fichier) sur une plateforme, simplement en ajoutant à une URL un caractère, lettre ou chiffre, de manière séquentielle. Il est facile pour un cybercriminel de détecter et d’exploiter ce genre de faille. En effet, sans étapes d’authentification ou de limites d’accès, un attaquant peut aisément mettre en place un programme qui télécharge de manière automatisée chaque message, photo, vidéo et données de l’ensemble du site. Les vulnérabilités IDOR figurent parmi celles que les hackers éthiques recherchent en priorité lorsqu’ils sont invités à vérifier la posture de sécurité d’un service ou d’une plateforme.”
Les cybermenaces et incidents en ligne se succèdent depuis la mise en place d’outils de suivi du pass sanitaire. Suite à une faille sur le site de Francetest la semaine dernière, les résultats de 700.000 tests accompagnés de l’identité complète des personnes ont fuité.
Ci-dessous, le commentaire de Julien Escribe, partner et expert en management des systèmes d’information chez ISG, cabinet mondial de conseil et de recherche en technologie :
« La mise en place du Système d’Information SI-DEP (Système d’Informations de DEPistage) a donné lieu à de multiples polémiques lors de sa création par le décret 2020-551 du 12 mai 2020 publié au journal officiel du 13 mai 2020. C’est une plateforme sécurisée où sont systématiquement enregistrés les résultats des laboratoires de tests Covid-19. Elle permet de s’assurer que tous les cas positifs sont bien pris en charge. La CNIL, Commission nationale de l’informatique et des libertés qui est le régulateur des données personnelles avait donné un avis positif sur la création du SI-DEP le 21 janvier 2021. À cette occasion, la CNIL a constaté, entre autres, un niveau de conformité satisfaisant de ce logiciel par rapport aux règles de protection des données personnelles.
Le site Mediapart, qui a signalé cette fuite, indique que la cause de la fuite proviendrait d’une faille de sécurité dans le logiciel de transmission au SI-DEP des résultats de tests édité par la société Francetest et utilisant la suite logicielle WordPress. Il semblerait que les règles de base de protection d’accès à l’arborescence des fichiers de ce site n’aient pas été implémentées par l’éditeur Francetest.
Une des difficultés de cette exposition de données provient du fait que Francetest ne faisait pas partie du logiciel SIDEP, mais avait été développé et vendu pour pallier un défaut d’ergonomie de SIDEP…
Au-delà du cas d’espèce d’exposition massive de données personnelles confidentielles de santé, dans un contexte où la pandémie génère tellement de polémiques, nous pouvons nous poser une question basique de Cybersécurité. Faut-il prendre le risque de déployer des solutions logicielles annexes et périphériques à un logiciel sensible… mais réputé conforme aux règles de protection des données (RGPD et autres), si le logiciel sensible présente des challenges ergonomiques et si ces « satellites » n’ont pas été suffisamment sécurisés ?
Dans tous les cas, le principe du « maillon faible » devrait être rappelé à tous les intégrateurs de solutions. La résistance « Cyber » d’un ensemble de logiciels ne dépend que de son maillon le moins sécurisé.
Gageons que cet exemple encouragera des vérifications plus complètes sur les solutions intégrées… et que des actions d’amélioration d’ergonomie du SIDEP seront également considérées. »