Actualités de l'Urgence - APM

01/09 2021
Retour

FAILLE DANS UN LOGICIEL DE GESTION DES TESTS ANTIGÉNIQUES: VERS UNE MODIFICATION DU DÉCRET SIDEP

PARIS, 1er septembre 2021 (APMnews) - Le ministère des solidarités et de la santé a annoncé mardi soir à APMnews que "des travaux sont en cours pour modifier le décret relatif au système d'information de dépistage (Sidep) du 12 mai 2020'' afin d'encadrer les systèmes tiers autorisés à l'alimenter, après la découverte d'une faille dans le logiciel de Francetest ayant rendu accessibles 700.000 résultats de tests antigéniques, révélée par Mediapart.

Quelque 700.000 données personnelles de santé et résultats de tests antigéniques "de plusieurs centaines de milliers" de patients ont été rendus accessibles en ligne "pendant plusieurs mois" en raison d'une faille de sécurité dans le logiciel de transmission au Sidep des résultats de tests édité par la société Francetest, a rapporté mardi Mediapart.

Résultats de tests, nom, prénom, genre, date de naissance, numéro de sécurité sociale, adresse mail, numéro de téléphone et adresse postale du patient étaient ainsi accessibles en quelques clics.

C'est une patiente qui a découvert cela après avoir consulté ses propres résultats de test via le lien fourni par son pharmacien. Disposant de bonnes connaissances en informatique, elle a remarqué plusieurs incohérences dans l'URL, à commencer par la mention "wp-content" signifiant "contenu WordPress", un outil de création de sites internet gratuit.

En raccourcissant l'URL, elle a ainsi pu "remonter dans l'arborescence" du site qui n'était pas suffisamment sécurisé pour l'en empêcher et consulter, en clair, "plusieurs fichiers particulièrement sensibles et permettant d'accéder à de nombreuses données".

Notification à la Cnil

Alertée de la présence d'une faille de sécurité sur ses serveurs vendredi 27 août, la société Francetest a expliqué mardi soir dans un communiqué avoir "pris immédiatement les mesures techniques nécessaires pour la corriger, et plus généralement, a pris un certain nombre de mesures destinées à renforcer la sécurité de notre service: réinitialisation de tous les mots de passe, vérification de la mise à jour des pares-feux, etc.".

En outre, "sur le plan juridique et éthique, toutes mesures conservatoires ont également été prises: notification à la Cnil [Commission nationale de l'informatique et des libertés], information en cours des pharmaciens et des patients concernés".

"Francetest a requis l'assistance d'experts en cybersécurité afin de réaliser des tests de pénétration sur ses serveurs pour maximiser la sécurité de ses serveurs. Il n'existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuité. A ce stade, nous considérons qu'il s'agit uniquement de l'avertissement d'une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance", s'est défendue l'entreprise strasbourgeoise.

"Aucune sauvegarde de données de patients n'a été stockée sur le service Google Cloud. Seul un back-up de données de l'application était effectué quotidiennement", a-t-elle ajouté, répondant à Mediapart qui avance qu’"une sauvegarde automatique quotidienne d'une partie des données du site" était effectuée sur le compte Google Drive de Nathaniel Hayoun, le fondateur de Francetest.

"A ce jour et à cette heure, Francetest a tout lieu de considérer que cet incident est techniquement clôturé", a souligné la société.

Un logiciel non homologué

S'il peut quand même alimenter Sidep, le logiciel édité par Francetest n'est pas homologué par le ministère des solidarités et de la santé.

Un "rappel des règles de collecte" dans le système d'information de dépistage (Sidep) des résultats des tests antigéniques réalisés par les professionnels de santé en ville a été diffusé dimanche dans le cadre d'un DGS-Urgent, rappelle-t-on (cf dépêche du 30/08/2021 à 10:45).

L'enregistrement de ces tests dans Sidep peut se faire par l'intermédiaire de logiciels compatibles avec Sidep. Le [jeudi] 26 août, le ministère des solidarités et de la santé en répertoriait 10:

  • éOS, logiciel de la Fédération française de sauvetage et de secourisme (FFSS)
  • Ordoclic, édité par la start-up Ordoclic
  • Pharmacovid, développé par la société Pharmasoft SAS
  • Fastcovid, édité par SIL-LAB Innovations
  • Bimedoc (Bimedoc)
  • Magenet, développé par MagentineHealthcare
  • Izymeet (Itekcom)
  • Libheros (Libheros SAS)
  • RDV by QuizCoach, édité par Quiz Coach
  • Valwin, développé par Valwin pharma.

La liste des logiciels compatibles avec Sidep est régulièrement actualisée, après la délivrance des autorisations par la DGS. Elle est consultable sur le site du ministère.

"Le recours à tout logiciel ne figurant pas sur cette liste doit être proscrit", prévient la direction générale de la santé (DGS), ces outils répondant à des règles de sécurité strictes.

Nathaniel Hayoun, patron de Francetest, a fait savoir à Mediapart que sa demande d'homologation était en cours.

Interrogé par APMnews mardi, le ministère a indiqué qu'à date, "il n'y a pas d'obligation légale mais des travaux sont en cours pour modifier le décret Sidep du 12 mai 2020 [cf dépêche du 13/05/2020 à 15:19] afin d'encadrer les systèmes tiers autorisés à alimenter Sidep, et notamment un volet sanctions".

wz/ab/APMnews

Les données APM Santé sont la propriété de APM International. Toute copie, republication ou redistribution des données APM Santé, notamment via la mise en antémémoire, l'encadrement ou des moyens similaires, est expressément interdite sans l'accord préalable écrit de APM. APM ne sera pas responsable des erreurs ou des retards dans les données ou de toutes actions entreprises en fonction de celles-ci ou toutes décisions prises sur la base du service. APM, APM Santé et le logo APM International, sont des marques d'APM International dans le monde. Pour de plus amples informations sur les autres services d'APM, veuillez consulter le site Web public d'APM à l'adresse www.apmnews.com

Copyright © APM-Santé - Tous droits réservés.

Informations professionnelles

01/09 2021
Retour

FAILLE DANS UN LOGICIEL DE GESTION DES TESTS ANTIGÉNIQUES: VERS UNE MODIFICATION DU DÉCRET SIDEP

PARIS, 1er septembre 2021 (APMnews) - Le ministère des solidarités et de la santé a annoncé mardi soir à APMnews que "des travaux sont en cours pour modifier le décret relatif au système d'information de dépistage (Sidep) du 12 mai 2020'' afin d'encadrer les systèmes tiers autorisés à l'alimenter, après la découverte d'une faille dans le logiciel de Francetest ayant rendu accessibles 700.000 résultats de tests antigéniques, révélée par Mediapart.

Quelque 700.000 données personnelles de santé et résultats de tests antigéniques "de plusieurs centaines de milliers" de patients ont été rendus accessibles en ligne "pendant plusieurs mois" en raison d'une faille de sécurité dans le logiciel de transmission au Sidep des résultats de tests édité par la société Francetest, a rapporté mardi Mediapart.

Résultats de tests, nom, prénom, genre, date de naissance, numéro de sécurité sociale, adresse mail, numéro de téléphone et adresse postale du patient étaient ainsi accessibles en quelques clics.

C'est une patiente qui a découvert cela après avoir consulté ses propres résultats de test via le lien fourni par son pharmacien. Disposant de bonnes connaissances en informatique, elle a remarqué plusieurs incohérences dans l'URL, à commencer par la mention "wp-content" signifiant "contenu WordPress", un outil de création de sites internet gratuit.

En raccourcissant l'URL, elle a ainsi pu "remonter dans l'arborescence" du site qui n'était pas suffisamment sécurisé pour l'en empêcher et consulter, en clair, "plusieurs fichiers particulièrement sensibles et permettant d'accéder à de nombreuses données".

Notification à la Cnil

Alertée de la présence d'une faille de sécurité sur ses serveurs vendredi 27 août, la société Francetest a expliqué mardi soir dans un communiqué avoir "pris immédiatement les mesures techniques nécessaires pour la corriger, et plus généralement, a pris un certain nombre de mesures destinées à renforcer la sécurité de notre service: réinitialisation de tous les mots de passe, vérification de la mise à jour des pares-feux, etc.".

En outre, "sur le plan juridique et éthique, toutes mesures conservatoires ont également été prises: notification à la Cnil [Commission nationale de l'informatique et des libertés], information en cours des pharmaciens et des patients concernés".

"Francetest a requis l'assistance d'experts en cybersécurité afin de réaliser des tests de pénétration sur ses serveurs pour maximiser la sécurité de ses serveurs. Il n'existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuité. A ce stade, nous considérons qu'il s'agit uniquement de l'avertissement d'une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance", s'est défendue l'entreprise strasbourgeoise.

"Aucune sauvegarde de données de patients n'a été stockée sur le service Google Cloud. Seul un back-up de données de l'application était effectué quotidiennement", a-t-elle ajouté, répondant à Mediapart qui avance qu’"une sauvegarde automatique quotidienne d'une partie des données du site" était effectuée sur le compte Google Drive de Nathaniel Hayoun, le fondateur de Francetest.

"A ce jour et à cette heure, Francetest a tout lieu de considérer que cet incident est techniquement clôturé", a souligné la société.

Un logiciel non homologué

S'il peut quand même alimenter Sidep, le logiciel édité par Francetest n'est pas homologué par le ministère des solidarités et de la santé.

Un "rappel des règles de collecte" dans le système d'information de dépistage (Sidep) des résultats des tests antigéniques réalisés par les professionnels de santé en ville a été diffusé dimanche dans le cadre d'un DGS-Urgent, rappelle-t-on (cf dépêche du 30/08/2021 à 10:45).

L'enregistrement de ces tests dans Sidep peut se faire par l'intermédiaire de logiciels compatibles avec Sidep. Le [jeudi] 26 août, le ministère des solidarités et de la santé en répertoriait 10:

  • éOS, logiciel de la Fédération française de sauvetage et de secourisme (FFSS)
  • Ordoclic, édité par la start-up Ordoclic
  • Pharmacovid, développé par la société Pharmasoft SAS
  • Fastcovid, édité par SIL-LAB Innovations
  • Bimedoc (Bimedoc)
  • Magenet, développé par MagentineHealthcare
  • Izymeet (Itekcom)
  • Libheros (Libheros SAS)
  • RDV by QuizCoach, édité par Quiz Coach
  • Valwin, développé par Valwin pharma.

La liste des logiciels compatibles avec Sidep est régulièrement actualisée, après la délivrance des autorisations par la DGS. Elle est consultable sur le site du ministère.

"Le recours à tout logiciel ne figurant pas sur cette liste doit être proscrit", prévient la direction générale de la santé (DGS), ces outils répondant à des règles de sécurité strictes.

Nathaniel Hayoun, patron de Francetest, a fait savoir à Mediapart que sa demande d'homologation était en cours.

Interrogé par APMnews mardi, le ministère a indiqué qu'à date, "il n'y a pas d'obligation légale mais des travaux sont en cours pour modifier le décret Sidep du 12 mai 2020 [cf dépêche du 13/05/2020 à 15:19] afin d'encadrer les systèmes tiers autorisés à alimenter Sidep, et notamment un volet sanctions".

wz/ab/APMnews

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites.