Santé et Fuite de données : problème pour France ADOT

Posted On 07 Avr 2016

Santé et fuite de données – Le site France ADOT permet d’accéder, dans certaines conditions, aux données des demandeurs de carte de donneurs d’organes. Une fuite de données gênante !

Le site Internet France ADOT est indispensable. D’abord parce que la Fédération des Associations pour le Don d’Organes et de Tissus humains permet de s’informer sur le don d’organes. Ensuite, le site offre la possibilité de créer une carte « Ma carte de donneur d’organes« . L’idée : si vous veniez à décéder, les autorités médicales et votre famille (il faut en parler à vos proches afin qu’ils connaissent votre souhait de donneur) auront le document prouvant votre souhait d’affirmer votre position en portant sur vous une carte « OUI au Don d’organes ?« . Bilan, si vous êtes compatibles, votre cœur, vos poumons… pourront sauver une personne en attente d’une greffe. Bref, indispensable.

Santé et fuite de données !

Mais comme le précise Emmanuel, lecteur de ZATAZ, et Korben, il serait bon de greffer une sécurité supplémentaire aux informations proposées par les internautes. Il suffit à un malveillant, qui souhaite récupérer les informations enregistrées par un internaute sur le site France Adot, de connaitre le prénom, le nom et la date de naissance de sa cible. Trois éléments qui ouvrent l’accès, sans la moindre demande de mot de passe, à l’adresse mail, à l’adresse postale et au numéro de téléphone. Le courriel envoyé par l’association explique d’ailleurs cette démarche malheureusement pas suffisante pour protéger les internautes : « Vous pourrez par la suite accéder à vos données personnelles (et les modifier) à partir de vos références enregistrées ce jour (Nom, Prénom, Date de Naissance). » Il semble que plusieurs internautes ont tenté de faire réagir l’association, mais sans succès. Il suffirait, juste, de rajouter la possibilité de mot de passe.

Et croyez moi sur parole, il y a suffisamment d’informations pour mettre en place un piège, un phishing, une arnaque au « don » : argent pour le don du sang, le Téléthon… comme j’ai pu l’expliquer en avril 2016, dans ma conférence « Le Vidal du Vandal« , lors du 4ème Congrès National de la Sécurité des Systèmes d’Information de Santé de l’APSSIS qui s’est tenu au Mans.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

One Comment

Moscovitz 07/04/2016 at 16:41 Reply

Bonjour.
Les internautes porteurs d’une carte de donneur d’organes issue du site de http://www.france-adot.org peuvent effectivement vouloir modifier leurs coordonnées.
L’association France ADOT à sollicité son prestataire technique (que je représente) suite aux reproches qui lui ont été faits de la part de leurs internautes sur un manque de sécurité de son site, qui permet à un tiers d’accéder à leurs références à partir des *NOM + Prénom + Date de naissance*, seuls éléments invariants permettant de définir chacun.

Ce système est en place depuis 2012, et à ce jour les internautes n’avaient jamais fait remonter de problèmes liés à une quelconque divulgation de leurs coordonnées.
Auparavant, l’association avait été confrontée à de très nombreux internautes qui n’arrivaient pas à modifier leurs données du fait de la complexité des procédures (par exemple des personnes âgées …), aussi avions
nous cherché à simplifier du mieux possible la procédure de modification de leurs données, leur permettant ainsi d’être plus autonomes.
Malgré cela, France ADOT comprend la problématique que représente la simplification de cette procédure pour les internautes qui ne souhaitent pas que ces données soient aussi facilement décelables, et
l’association a entendu le message qui lui a été transmis sur ce point (même si cela a pris un peu plus de temps que certains le souhaitent…).
Nous allons donc procéder à sa modification, en y ajoutant une vérification par échange de mail, permettant ainsi d’éviter l’accès aux données par les 3 seules informations NOM, Prénom et date de naissance.
Cela sera effectif dans les 8-10 jours, le temps pour nous, prestataire de l’association, de réaliser ces modifications.

Et d’ailleurs, l’association France ADOT remercie tous les internautes et défenseurs du don d’organes de participer à son évolution et son développement, celle-ci n’étant gérée que par des bénévoles.