Faille dans une banque de données Covid - Site fermé à temps

Le danger était grand, mais le site a rapidement été fermé (image d'illustration).

Des données de santé liées au Covid-19 ont été exposées à des risques de sécurité considérables en raison de la faille dans la sécurité du système. Une tentative de piratage a pu être évitée en novembre dernier à la suite de l'intervention des autorités.

Un particulier a signalé au préposé fédéral et au Centre national pour la cybersécurité (NCSC) une faille du contrôle d’accès dans une banque de données stockant des données de santé provenant de centres de dépistage Covid-19 situés sur plusieurs sites en Suisse. Les responsables ayant pris les mesures immédiates appropriées, le risque pour les personnes concernées a pu être minimisé, indique le préposé fédéral à la protection des données et à la transparence.

Dans son rapport final publié vendredi, le préposé constate que cette banque de données de centres privés de dépistage Covid-19 était insuffisamment sécurisée.

Comme le risque pour les personnes concernées a pu être minimisé et que l'exploitation des centres de dépistage Covid-19 avait déjà été suspendue quelque temps avant la connaissance de la faille en question, la procédure est ainsi close sans recommandation, précise-t-il.

Le préposé tire néanmoins des enseignements. Le cas démontre d'une part les risques qui peuvent résulter de failles dans une banque de données. D'autre part, la prise de mesures immédiates et la journalisation des accès à la banque de données ont permis d'exclure des risques supplémentaires pour les personnes concernées, écrit-il.

mesvaccins.ch

Le préposé fédéral à la protection des données était déjà intervenu pour faire fermer un site lié à la pandémie de Covid-19, au printemps 2021. L'ancienne plateforme mesvaccins.ch présentait des manquements graves en matière de protection des données et de sécurité. Plus tard, une commission parlementaire a relevé que le Département fédéral de l'Intérieur et l'Office fédéral de la santé publique avait exercé son devoir de surveillance 'avec une trop grande retenue'.

La fondation a restitué les données de vaccination à une partie des quelque 300'000 utilisateurs par courriel électronique non chiffré. Les autres ont dû être détruites.