Mardi 31 août, Mediapart révélait une fuite de données liée à des tests antigéniques, impressionnante tant par son volume que part le nombre d’informations sur chaque personne concernée. Les données personnelles renseignées par plus de 700 000 patients étaient exposées sur une page du site Francetest, elle-même accessible sans mot de passe ni manipulation technique. Il suffisait d’entrer une certaine URL, commune pour un site édité sur Wordpress (un des logiciels de création de sites les plus utilisés), et de télécharger les fichiers.
Créé en juin 2021, Francetest se présente comme un gestionnaire de tests antigéniques, et a convaincu plus de 600 pharmacies d’utiliser son service. Concrètement, il génère le formulaire en ligne à faire remplir au patient, et automatise l’envoi des résultats vers la plateforme gouvernementale, SI-DEP, qui va les certifier.
Le lendemain des révélations, Francetest, dont le fondateur Nathaniel Hayoun est cité dans l’article de Mediapart, a émis un communiqué public affiché sur son site. L’entreprise explique qu’elle aurait pris « les mesures techniques nécessaires » pour corriger la faille, et qu’elle aurait « fait appel à des experts en cybersécurité » pour réévaluer la sécurité de ses serveurs.
Francetest n’a que 3 mois d’existence, mais des centaines de clients. // Source : FranceTest
Pour ce qui est des données de patients, FranceTest se montre optimiste : « Il n’existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuitées. À ce stade, nous considérons qu’il s’agit uniquement de l’avertissement d’une faille existante à laquelle nous avons remédié immédiatement dès que nous en avons eu connaissance. »
Cette défense surprend, car il y a bien eu une fuite. Numerama, contacté par la personne derrière la découverte de ce gros problème, a pu confirmer à son tour les informations de Mediapart. Plusieurs fichiers CSV [un format de classeur qui peut être ouvert avec Microsoft Excel, Open Office Calc ou encore Google Sheet], que nous avons consultés, étaient bien accessibles sans aucun identifiant. Ils contiennent les informations remplies par les patients dans le formulaire distribué en amont des tests antigéniques : nom, prénom, numéro de sécurité sociale, genre, adresse, email, numéro de téléphone et date de naissance. Ils affichent aussi des informations ajoutées par les pharmaciens comme le type de test et son résultat.
Désormais, la question n’est plus de savoir s’il y a eu une fuite, mais de savoir combien de personnes ont pu y avoir accès. Et si, parmi elles, se trouvaient des individus malveillants susceptibles d’exploiter les données ou de les revendre. Interrogé par Numerama sur le détail des vérifications techniques effectuées pour s’assurer qu’aucune donnée de patient n’a été récupérée par une personne extérieure, Francetest n’a pour l’instant pas répondu.
Francetest mise sur le scénario idéal, mais peu crédible
Le cas de Francetest se range parmi les scénarios idéaux, puisque la fuite a été découverte à la source. La personne derrière la trouvaille a averti le journaliste de Mediapart, qui a lui-même contacté l’entreprise. L’entreprise a ainsi eu le temps de réparer le problème, et de fermer l’accès aux données, avant même que l’incident ne devienne public.
À l’inverse, bon nombre de fuites ne sont découvertes que lorsque les données s’échangent sur les marchés noirs. C’était par exemple le cas plus tôt dans l’année de données issues de laboratoires français. Aucun doute ne subsiste alors : la fuite a profité à des personnes malveillantes et de plus ou moins nombreuses personnes ont pu tenter de l’exploiter par exemple pour envoyer des phishings ou pour tenter de voler des comptes en ligne. Dans ce scénario catastrophe, même si la fuite est colmatée, les données resteront à jamais exposées sur internet.
Pour autant, partir du postulat que la personne bienveillante est la première à avoir trouvé la faille est une vision optimiste, voire idéaliste, du fonctionnement d’Internet. D’autant plus quand la fuite est si simple à trouver et qu’elle traîne depuis plusieurs semaines, ce qui est clairement le cas de celle de Francetest. À titre de comparaison, l’an dernier, des chercheurs de Comparitech avaient réalisé une expérience sur un serveur ElasticSearch mal protégé, une source de fuite bien connue des hackers, éthiques comme criminels. En à peine 9 heures, une personne avait trouvé la base, et 2 semaines plus tard à la fin de l’expérimentation, plus d’une centaine s’y étaient connectés et avaient téléchargé ou modifié la base.
N’importe qui pouvait accéder à la fuite béante
« L’erreur de Francetest est extrêmement commune. Ce n’est pas vraiment une faille, mais plus l’oubli d’une bonne pratique », évalue le hacker Adrien Jeanneau, interrogé par Numerama. Quand un développeur crée le répertoire de son site, il doit, en principe, y mettre un fichier qui interdira l’accès à des personnes extérieures. S’il l’oublie, comme Francetest, alors cet index sera accessible à n’importe qui : aux humains, mais aussi aux bots [de petits programmes informatiques, ndlr]. Résultat, les bots de Google et d’autres moteurs de recherches, chargés de référencer toutes les pages internet, y auront accès. Autrement dit, la page qui contient la fuite, si elle est exposée trop longtemps, finira par être trouvable sur les moteurs de recherche.
Ensuite, par une simple « dork », c’est-à-dire une recherche précise qui exploite les fonctionnalités du moteur de recherche, il est possible de trouver les index Wordpress exposés, et des hackers peuvent viser spécifiquement ce genre de fuite. Heureusement, bon nombre de sites Wordpress ne conservent pas d’informations de grande valeur, ce qui diminue l’intérêt des malfaiteurs pour ce type de dork, aux profits d’autres comme celles qui visent les ElasticSearch. Reste que ce mode de fonctionnement signifie qu’un acteur malveillant aurait pu trouver la fuite « par hasard », sans connaître Francetest, juste en cherchant le type de fuite.
Un hacker aurait immédiatement trouvé la fuite
De même, n’importe quel hacker qui aurait ouvert le site Francetest aurait immédiatement trouvé la faille. Lorsqu’ils inspectent en site, les hackers commencent par faire tourner un « scanner », un petit outil qui va évaluer la configuration du site, et faire un tour de ses défenses en quelques sortes. Or, « n’importe quel scanner de base saurait faire remonter la fuite », affirme Adrien Jeanneau. D’ailleurs, même pas besoin d’être spécialisé pour trouver la faille, il suffit de connaître le fonctionnement de Wordpress. La personne à l’origine de la découverte a par exemple simplement supprimé un morceau de l’URL de ses résultats de test pour y accéder.
Cette facilité d’accès à la faille a de quoi surprendre, d’autant plus que le site affiche que ses données sont stockées sur un serveur d’Amazon Web Services, aux protections renforcées, certifié hébergeur de données de santé (HDS). « Amazon ne peut pas être tenu responsable dans ce cas », balaie Adrien Jeanneau, « si la configuration du site n’est pas correcte, peu importe ce qu’il y a derrière. »
Comment garantir que personne ne s’est procuré les données personnelles ?
Vous l’aurez compris : s’il existe un scénario dans lequel seule la personne qui a averti Mediapart a découvert la faille, il est possible que des personnes malveillantes y aient eu accès. Pour écarter cette éventualité, Francetest devrait avoir des preuves techniques à disposition. « Sur des outils comme Wordpress, les logs [historique de toutes les interactions avec le site, ndlr] sont activés par défaut, et ils vont enregistrer toutes les actions effectuées », rappelle Adrien Jeanneau. Le propriétaire de Francetest peut donc — en théorie — remonter les logs pour identifier d’éventuelles intrusions. Chaque log indique l’heure de la connexion et l’adresse IP [un type d’identifiant pour les machines] d’où elle provient. L’entreprise peut analyser ces logs : si elle y voit une adresse IP inconnue, cela serait le signe d’une connexion par un appareil extérieur.
Francetest se munit tout de même de précautions dans son communiqué : ses conclusions valent « pour l’instant » ou « à ce jour ». La faille révélée par Mediapart pourrait être ouverte depuis la mise en service du site, soit environ deux mois.
L’incident serait clos
Mais avant même de s’inquiéter pour les données exposées publiquement, Francetest va devoir s’assurer qu’aucun acteur malveillant ne s’est connecté à son back-office, l’arrière-boutique technique du site. Le mot de passe pour y accéder était en fait affiché en clair sur l’index : il était quasiment aussi facile à récupérer que les données des patients. Un acteur malveillant aurait pu s’en servir pour installer une porte dérobée sur le serveur de l’entreprise et continuer à récolter les informations de patients, alors même que la fuite a été colmatée. Face à ce risque, la consultation d’expert de cybersécurité par Francetest est une bonne nouvelle, et elle semble rassurante.
L’entreprise dit avoir échappé aux mauvais scénarios, puisqu’elle conclut que « à ce jour et à cette heure, Francetest a tout lieu de considérer que cet incident est techniquement clôturé. » Les prochains jours révéleront si ce constat est précipité ou non.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
