En Belgique, n'importe qui pouvait-il déclarer des patients Covid-19 via le formulaire réservé aux médecins ?
Dernière édition le 27 avril 2020 à 11:40 - Relecture par Anne Smadja , correction par Denis Verloes , coordonné par Lina Fourneau
C'est essentiellement vrai
En bref
Sur Twitter, le 10 avril, un journaliste belge spécialisé dans le domaine de la santé a signalé une faille de sécurité numérique majeure dans la procédure de suivi des patients atteints de la Covid-19.
🔵Coronavirus en Belgique: 3 mots-clés dans un moteur de recherche permettent de tomber (par hasard) sur le formulaire de Sciensano que les hôpitaux utilisent pour déclarer leurs patients #COVID19. En accès libre, sans identification nécessaire... #data #privacy #cybersécurité pic.twitter.com/yiGE1KxajO
— François Remy (@francois\_remy) April 10, 2020
Dans son tweet, François Rémy alarme les internautes sur la sécurité du formulaire utilisé par les hôpitaux pour déclarer les patients atteints du Coronavirus à Sciensano [ l’institut de la santé publique belge ] . Ce document serait non protégé et en libre accès par tous sur internet.
Nous avons contacté François Rémy pour comprendre la faille ainsi que la démarche qui lui a permis de la découvrir. En tapant simplement « patient covid sciensano », le journaliste est tombé sur ce formulaire qui s’avère être complètement "ouvert". Toute personne avec de mauvaises intentions peut y entrer des données farfelues. Depuis la découverte du journaliste, le questionnaire a été fermé et n'est désormais plus accessible qu’à l’aide d’un code.
Mais cette faille de sécurité est plus qu’alarmante car elle pose la question de la réalité des chiffres remontés aux services de l'État. Les formulaires correspondent-ils tous à des patients réels?
Pour compléter sa démarche nous nous sommes demandés si, partant de ce formulaire, il serait possible à un codeur de remonter jusqu'aux données personnelles des patients réels inscrits dans ladite base. Il semblerait que cette faille ne présente pas de risque majeur pour la vie privée des patients, car le document sert uniquement à déclarer un nouveau cas de Covid-19. Mais qu'en est-il de l’exactitude des données avancées par Sciensano pour la Belgique ? L'épidémie est-elle surévaluée ?
Interrogé par la RTBF, le directeur de Sciensano, Christian Léonard, a finalement réagi ce 10 avril :
« Nous ne voulions pas compliquer la vie des médecins et des hôpitaux, et il fallait aller vite. D'un commun accord, nous avions donc décidé de ne pas mettre de code d'accès au formulaire. Par contre, il y avait une super sécurité derrière : après réception d'un formulaire, nous renvoyions une demande de confirmation au médecin via la "e-healthbox" du médecin. Toute donnée bizarre ou incongrue faisait l'objet d'une vérification systématique. Nous n'avons jamais eu de problème. »
Compte tenu des faiblesses de sécurité autour du formulaire de déclaration et malgré les réponses a priori rassurantes de François Rémy et de Christian Léonard sur la " super sécurité " qui existerait en aval, nous avons investigué sur l'outil de stockage des données déclarées dans le formulaire. Il s’avère que Sciensano fait appel à une application Web Open-Source, nommée LimeSurvey. L'application en question est développée par une société allemande spécialisée et hébergée sur les serveurs du WIV-ISP ( Institut scientifique de santé publique) directement en Belgique. Il semblerait donc que contrairement au formulaire, le contenu des déclarations serait quant à lui hébergé de manière sécurisée, et que les informations ne transiteraient pas par des services de stockage à distance.
Recherche Google permettant d'accéder au formulaire en ligne
Si le problème semble résolu aujourd'hui et si la réponse de Sciensano le fait apparaître comme minime, cela révèle une réelle défaillance dans l'installation d'un système informatique élaboré dans la précipitation. Reste en suspens la question de la véracité des données compilées par l'institut belge, face au manque de barrières mises en place à l'origine pour garantir leur intégrité. Cette faille, dans les mains de hackers malveillants, peut avoir un impact majeur sur les décisions de santé publique dans un pays en pleine crise sanitaire.
Fiche Enquête
La fiche ci-dessous résume le parcours et la méthodologie employés pendant notre enquête.
Information
Vérifiée et essentiellement vraie
Première apparition sur le web
10 Apr 2020
Dernière modification de la fiche de l'enquête
4 mai 2021 à 16:52
Lieu de publication constaté
Non renseigné
Actions entreprises par les journalistes
Est-ce que ce formulaire est vraiment accessible ? Comment ?
Pistes et conclusions
Nous contactons François Rémy pour comprendre comment il a pu découvrir ce formulaire.
Nous essayons de retrouver le formulaire via la même recherche Google que ce journaliste et avons également accès à ce lien. Le contenu du formulaire est également disponible dans Google Cache
Nous essayons de contacter Sciensano pour comprendre le problème mais leur attachée de presse n'est pas disponible.
Une heure après la découverte de François Remy, le formulaire n'est plus accessible au public. Il demande désormais un code d'authentification.
La RTBF publie un article avec une déclaration rassurante du directeur de Sciensano, Christian Léonard.