Le contact tracing comporte un risque non négligeable pour les données personnelles des Français

Écrit par La rédaction Meilleurtaux . Mis à jour le 6 octobre 2020 .
Temps de lecture : 3 min

Détails

Publié le mardi 6 octobre 2020 11:05 par la Rédaction Meilleurtaux

Une personne testée positive a récemment reçu un rappel de la brigade anti-Covid sur son compte Ameli. À cause d’une erreur humaine, le fichier contenait aussi les courriers destinés à trois autres patients dans le même cas. Or, ces lettres types renferment les coordonnées et le numéro de sécurité sociale des assurés. Une telle fuite est donc très risquée.

L’assurance maladie a rapidement réagi suite à cet incident signalé par Numerama. D’ailleurs, elle a vite identifié l’origine de l’erreur au niveau de la cellule de contact tracing. L’organisme a tenu à rassurer le public par rapport au caractère exceptionnel du problème. De plus, un outil est actuellement mis au point pour éviter ce type de fuite à l’avenir.

Loin d’être anecdotique, cet incident démontre les failles de sécurité dans le dispositif de traçage des porteurs du virus et des cas contacts. Les spécialistes en cybersécurité soulignent par ailleurs la nature sensible des données personnelles traitées et transmises par les brigades anti-Covid. La prudence est donc de rigueur.

Des données précieuses pour les malfaiteurs

Heureusement, cette fuite de données n’a entraîné aucune complication grave. La situation aurait pourtant pu dégénérer rapidement face à une personne mal intentionnée.

ImportantPour rappel, les courriers types des brigades anti-Covid contiennent des renseignements personnels sur le patient. Ils indiquent notamment son nom, prénom, adresse et numéro de sécurité sociale ainsi que sa positivité au test Covid-19.

Avec toutes ces informations, un cybercriminel peut par exemple procéder à un phishing en envoyant un faux mail de l’Assurance Maladie à la personne concernée. La victime ne sera pas forcément sur ses gardes, vu la nature et la précision des renseignements détenus par le malfaiteur.

Ce dernier pourra ainsi inciter sa cible à ouvrir un document contenant un malware ou soutirer d’autres données sensibles (coordonnées bancaires par exemple). De plus, même un simple escroc est en mesure d’exploiter ce type d’information hors ligne. Il est notamment susceptible de faire du chantage à l’assuré, contacter son employeur comme moyen de pression… Les scénarios possibles sont quasiment infinis.

Fonctionnement des cellules de contact tracing

Il est nécessaire de revenir sur le fonctionnement du contact tracing pour comprendre l’origine de l’erreur évoquée. Après des contacts suspects, tout individu est invité à passer un test de dépistage Covid-19. Si le résultat est positif, l’assuré sera contacté par la cellule de contact tracing, conformément à la procédure.

Son interlocuteur procédera à un rappel des mesures sanitaires de circonstance et mènera une brève enquête pour retracer les éventuels cas contacts. L’agent de l’Assurance Maladie peut remonter jusqu’à 7 jours avant le test, selon la situation. Quelques jours plus tard, le nouveau patient zéro recevra un courrier électronique indiquant la réception d’un message sur son espace personnel Ameli.

La brigade anti-Covid envoie habituellement un fichier dédié dans le cadre de la « Campagne de dépistage Covid-19 ». Outre un nouveau rappel des consignes, la lettre contient le numéro de la cellule pour signaler d’éventuels cas contacts. Le risque apparaît à ce stade, lorsque plusieurs courriers sont fusionnés dans un seul fichier.