Panne de données au centre d'essai Corona

Se faire tester pour une infection par le virus Covid-19 devient presque banal pour un nombre croissant de personnes. Des centres de dépistage ont été mis en place dans de nombreux endroits, où il est possible de se faire dépister rapidement et, en général, gratuitement.

La plupart du temps, les visiteurs reçoivent à la fin un code d'accès qui leur permet, après un certain temps, de consulter leur résultat de test en ligne ou d'imprimer une confirmation. Ces derniers sont souvent exigés avant d'entrer dans certains magasins, par exemple. Il est donc presque impossible de ne pas se rendre dans un centre de test et d'y communiquer ses données personnelles.

La présence en ligne de certains centres de test a connu des pannes informatiques répétées, au cours desquelles les données des personnes testées étaient accessibles à tous. Il s'agissait non seulement de données à caractère personnel telles que le nom, la date de naissance, l'adresse et le numéro de téléphone, mais aussi des résultats des tests qui, en tant que données relatives à la santé, bénéficient de la protection particulière de l'article 9 I du RGPD.

Exemples actuels

Non seulement en mars 2021, des chercheurs en sécurité ont constaté que les centres de test Corona en Allemagne et en Autriche n'étaient pas suffisamment protégés (le nom, l'adresse, la date de naissance, la nationalité, le résultat du test Corona et, en partie, les données d'identification de plus de 80.000 personnes y étaient ouvertement consultables), mais il était encore récemment possible de consulter les données correspondantes de plus de 14.000 personnes testées dans des centres à Hambourg, Berlin, Leipzig et Schwerte.

Le problème est donc toujours d'actualité.

Les raisons de la violation des données

Mais où se situent exactement les erreurs qui rendent possibles de telles violations de données ?

Dans plus de 100 centres de test, les interfaces des sites web et des applications web permettant aux clients de s'inscrire à un test et de consulter leurs résultats n'étaient pas protégées. Non seulement ces interfaces des centres de test concernés n'étaient pas suffisamment sécurisées, mais même des utilisateurs d'ordinateurs non professionnels pouvaient, en modifiant le dernier chiffre de leur numéro d'identification client attribué pour consulter leur résultat, voir le résultat et d'autres données personnelles d'autres clients. Pour éviter cela, il est possible d'utiliser dans la programmation ce que l'on appelle des UUID et des valeurs de hachage complexes (résultats).

En outre, il aurait été possible de voir en ligne, via le compte de chaque client, dans quel centre de test, quand et qui était testé et quel était le résultat.

Conséquences

Des amendes ont été infligées aux différents opérateurs, comme le prévoit également le RGPD. Toutefois, des voix se sont rapidement élevées pour dire que les autorités manquaient de fermeté dans leur action contre de telles violations de données.

Les opérateurs concernés, qui avaient l'obligation de signaler ces violations de données, ont affirmé que les vulnérabilités avaient été corrigées depuis.

Mais il est prévisible que d'autres défauts de numérisation seront révélés à l'avenir en ce qui concerne les quantités de données collectées dans le cadre de Corona.