Fuite massive de résultats de tests Covid-19 : "C'est un rappel à tous ceux qui créent des systèmes numériques", alerte un expert en cybersécurité

"Il faut quand même prendre le temps de faire des vérifications de sécurité avant de commencer à collecter des centaines de milliers de données", a alerté mardi  31 août sur franceinfo Gérôme Billois, expert en cybersécurité au cabinet de conseil Wavestone, alors qu'une faille de sécurité informatique a touché la société Francetest, spécialisée dans le transfert de données de tests antigéniques réalisés en pharmacie vers la plateforme du gouvernement SI-DEP. Les données personnes et les résultats de tests de 700 000 personnes ont été rendus accessibles sur internet. 

franceinfo : Est-ce que cette faille révèle que ces sites ne sont pas fiables ?

Gérôme Billois : Je ne dirais pas que tous les sites ne sont pas fiables. Ce qui est important, c'est que là, on est face à une situation où le site n'avait pas d'agrément. Il n'avait pas été vérifié avant qu'il puisse être utilisé.

Alors, même si les agréments sont arrivés tard, il faut voir que, même si on a des besoins urgents dans le numérique, il faut quand même prendre le temps de faire des vérifications de sécurité avant de commencer à collecter des centaines de milliers de données. C'est peut-être ce qui a manqué dans cette affaire et qui est un rappel à tous ceux qui créent des systèmes numériques. C'est rapide, c'est facile à créer. Mais il ne faut pas oublier qu'à un moment ou à un autre, cela peut dérailler et qu'il peut y avoir des problèmes de cybersécurité.

Quels sont les risques de ce genre de failles informatiques ?

Dans ce cas particulier, la faille de sécurité aurait été trouvée et signalée par quelqu'un. On ne sait pas pour l'instant, si cette faille a été utilisée par des personnes malveillantes, des cybercriminels, pour extraire les données.

Si c'est le cas, ces cybercriminels peuvent faire de nombreuses choses avec ces informations : envoyer des faux emails en se basant sur les informations, les noms, les prénoms, les adresses, les numéros de sécurité sociale pour demander par exemple un paiement complémentaire ou demander la communication de la carte bancaire pour créer des fraudes. Ça, c'est une première piste.

La deuxième action malveillante pour les cybercriminels, c'est de préparer des usurpations d'identité. Les informations sont très précises, très fraîches parce qu'elles datent de quelques mois. Par exemple pour prendre un crédit au nom de quelqu'un d'autre.

Comment se prémunir quand on est un particulier et savoir si on peut communiquer ses données en toute sécurité ?

C'est une vraie problématique aujourd'hui pour le grand public. C'est extrêmement difficile, quand on va sur un site web, de savoir s'il est fiable ou pas. On voit toujours écrit 100% sécurisé. Le grand public ne peut pas vérifier ça. C'est pour cela qu'il y a plusieurs projets de réglementation qui visent à imposer un niveau minimum de sécurité et d'avoir un label, comme on le label CE. Il faut qu'on arrive de plus en plus à avoir une reconnaissance externe, indépendante de ceux qui créés ces sites web. Cela permettrait d'avoir un niveau minimum de sécurité. Évidemment, cela n'empêchera pas tout, mais ce sera déjà une très bonne avancée.