| | News

Le site abritant les données de vaccination Covid de 240'000 personnes suspendu de force

Capture d'écran du site mes vaccins.ch suspendu.

Exceptionnellement, nous avons décidé de mettre cet article à disposition gratuitement, tant ces informations sont utiles pour comprendre l'épidémie. L'information a néanmoins un coût, n'hésitez pas à nous soutenir en vous abonnant.

Le site Mesvaccins.ch a été suspendu de force par le Préposé fédéral à la protection des données (PFPDT). La plateforme, qui sert de carnet de vaccination électronique en Suisse et sur laquelle se trouvent notamment les informations des quelque 240’000 personnes déjà vaccinées contre Covid-19 dans le pays, a été retirée d’internet ce 23 mars «jusqu’à nouvel avis» et fait l’objet d’une procédure ouverte contre des violations de la protection des données. Violations révélées par le media Republik.ch.

Pourquoi c’est grave. Dans son enquête parue ce mardi, Republik.ch révèle que «la sécurité et la protection des données du carnet de vaccination numérique suisse sont pires qu'on ne le pensait. Même les données de vaccination des conseillers fédéraux étaient accessibles». Les journalistes ont ainsi pu voir les données vaccinales de la conseillère fédérale Viola Amherd.

De quoi on parle. Dans leur enquête, Adrienne Fichter et Patrick Seemann révèlent que le site mesvaccins.ch et l’application pour Smartphone MyViavac:

«présentent de graves lacunes en matière de sécurité et ne répondent pas aux exigences de protection des données. Un rapport technique rédigé par les experts en sécurité de l'information Sven Fassbender, Martin Tschirsich et André Zilch ainsi que des recherches menées par Republik révèlent trois problèmes graves:

  1. Droits d'accès complets: chaque professionnel de santé inscrit sur la plateforme a un accès complet aux données de vaccination et de santé de tous les particuliers inscrits. Ils pourraient, par exemple, manipuler facilement leurs données de vaccination relatives au Covid.

  2. Vérification inadéquate: aucune vérification réelle de l'identité n'a lieu lors du premier enregistrement en tant que professionnel de santé. La vérification est basée uniquement sur les informations fournies par le demandeur. Cela signifie qu'il est facile de se faire passer pour un «médecin».

  3. Failles de sécurité: Les pirates peuvent relativement facilement capturer les cartes de vaccination Covid-19 de toutes les personnes précédemment vaccinées sur la plateforme. Avec quelques connaissances techniques, ils peuvent également manipuler les données de vaccination et d'autres données sanitaires.

Les failles de sécurité identifiées ouvrent la voie à l'utilisation abusive et à la compromission des données d'environ 450’000 personnes vaccinées enregistrées, dont 240’000 personnes vaccinées contre le Covid-19.»

La réaction des autorités. Ces révélations sont fracassantes et inquiètent la Confédération. Pour une simple et bonne raison: mesvaccins.ch est la plateforme privilégiée de l’Office fédéral de la santé publique pour le déploiement du Passeport sanitaire européen, ou «carte verte de vaccination numérique» discutée au sein de l’Union européenne. La Suisse travaille à l’élaboration d’un tel passeport vaccinal numérique et est invitée à participer au projet européen. Un tel document doit permettra aux citoyens européens de voyager librement sur le continent.

Une telle faille de sécurité représente un véritable danger. Que ce soit pour les données qui y sont stockées, et qui pourraient être volées, ou pour les malversations possibles. Le site est exploité par une fondation avec laquelle 9 cantons sont déjà sous contrat. Ils y enregistrent ainsi les informations vaccinales de leurs résidents.

Les révélations de Republik.ch ont été prises très au sérieux par le Préposé fédéral à la protection des données et à la transparence, alerté par les journalistes alémaniques le 21 mars. La réaction du PFPDT a été rapide:

«Après avoir consulté le Centre national pour la cybersécurité, le Préposé a conclu que les violations portées à sa connaissance étaient plausibles. Le 22 mars 2021, une procédure d’établissement des faits, conformément à l’art. 29 de la loi fédérale sur la protection des données (LPD), a été ouverte contre la fondation «mesvaccins» sise à Gümligen.

Le préposé a également pourvu à ce que les traitements de données mis en cause soient immédiatement suspendus. Le carnet de vaccination électronique, tel que proposé sur la plateforme, est susceptible de porter atteinte aux droits de la personnalité d’un grand nombre de personnes, d’autant plus qu’il s’agit en l’espèce de données sensibles concernant la santé.»

Une telle décision et action rapides sont rarissimes de la part du Préposé fédéral à la protection des données. On peut même déceler de la colère dans le communiqué de presse publié ce 23 mars:

«Les responsables de la fondation ont été sommés de se prononcer au plus vite sur les griefs formulés à leur encontre et la dénonciation de Republik.ch. Le PFPDT attend en outre des renseignements sur les données éventuellement perdues.»

Et de terminer sur un:

«En raison de la procédure en cours, le PFPDT ne peut pas s’exprimer davantage sur cette affaire.»

Heidi.news sur Telegram, chaque fin de journée, recevez les articles les plus importants.
Inscrivez-vous!

Lire aussi