Fuite massive de résultats de tests Covid-19 : "C'est un rappel à tous ceux qui créent des systèmes numériques", alerte un expert en cybersécurité

"Il faut quand même prendre le temps de faire des vérifications de sécurité avant de commencer à collecter des centaines de milliers de données", a expliqué mardi  31 août sur franceinfo Gérôme Billois, expert en cybersécurité au cabinet de conseil Wavestone, alors qu'unefaille de sécurité informatique a touché la société Francetest, spécialisée dans le transfert de données de tests antigéniques réalisés en pharmacie vers la plateforme du gouvernement SI-DEP. Les données personnes et les résultats de tests de 700 000 personnes ont été rendus accessibles sur internet. franceinfo : Est-ce que cette faille révèle que ces sites ne sont pas fiables ? Gérôme Billois : Je ne dirais pas que tous les sites ne sont pas fiables. Ce qui est important, c'est que là, on est face à une situation où le site n'avait pas d'agrément. Il n'avait pas été vérifié avant qu'il puisse être utilisé. Alors, même si les agréments sont arrivés tard, il faut voir que, même si on a des besoins urgents dans le numérique, il faut quand même prendre le temps de faire des vérifications de sécurité avant de commencer à collecter des centaines de milliers de données. C'est peut-être ce qui a manqué dans cette affaire et qui est un rappel à tous ceux qui créent des systèmes numériques. C'est rapide, c'est facile à créer. Mais il ne faut pas oublier qu'à un moment ou à un autre, cela peut dérailler et qu'il peut y avoir des problèmes de cyber sécurité. Quels sont les risques de ce genre de failles informatiques ? Dans ce cas particulier, il y aurait une faille de sécurité qui a été trouvée par quelqu'un qui l'a signalée. Ce qu'on ne sait pas pour l'instant, c'est si cette faille de sécurité a été utilisée par des personnes malveillantes, des cybercriminels, pour extraire les données. Si jamais c'est le cas, ces cybercriminels peuvent faire de nombreuses choses avec ces informations. En particulier, ils peuvent envoyer des faux emails en se basant sur les informations, les noms, les prénoms, les adresses, les numéros de sécurité sociale pour demander par exemple un paiement complémentaire ou demander la communication de la carte bancaire pour créer des fraudes. Ça, c'est une première piste. La deuxième action malveillante pour les cybercriminels, c'est de préparer des usurpations d'identité pour se faire passer pour les gens qui auraient vu leurs données volées. De la même manière, on a des informations qui sont très précises, qui sont très fraîches parce qu'elles datent de quelques mois et qui peuvent permettre de commencer à faire de l'usurpation d'identité, par exemple pour prendre un crédit au nom de quelqu'un d'autre. Comment se prémunir quand on est un particulier et savoir si on peut communiquer ses données en toute sécurité ? C'est une vraie problématique aujourd'hui pour le grand public. C'est extrêmement difficile, quand on va sur un site web, de savoir s'il est fiable ou pas. On voit toujours écrit 100% sécurisé. Le grand public ne peut pas vérifier ça. C'est pour cela qu'il y a plusieurs projets de réglementation qui visent à imposer un niveau minimum de sécurité et d'avoir un label, comme on le label CE. Il faut qu'on arrive de plus en plus à avoir une reconnaissance externe, indépendante de ceux qui font ces sites web et qui permettent d'avoir un niveau minimum de sécurité. Évidemment, cela n'empêchera pas tout, mais ce sera déjà une très bonne avancée.