S3 1 Tio
S3 1 Tio
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

MesVaccins.net touché par un vol de données, tous les utilisateurs potentiellement concernés

Le site MesVaccins.net est la dernière victime en date d’un vol de données. La plateforme, qui centralise les données de vaccination et propose un carnet de vaccination numérique, a prévenu ses utilisateurs et donné quelques détails.

Un tiers non autorisé a accédé à certaines données personnelles traitées par MesVaccins.net, et en a obtenu une copie. D’après l’enquête toujours en cours, la cyberattaque a compromis des informations d’identification et de contact comme les adresses email et les numéros de téléphone, ainsi que les données d’état civil (dont le numéro de sécurité sociale s’il a été renseigné).

Illustration : Flock

Les mots de passe des comptes étant chiffrés, ils ne sont pas concernés – prudence étant mère de sûreté, le site recommande tout de même de changer de mot de passe. En ce qui concerne les données vaccinales, les informations du profil santé (là encore, s’il a été renseigné) ne sont pas stockées en clair mais « sous forme codée ». Une formulation plutôt vague qui peut inquiéter. MesVaccins.net indique n’avoir identifié aucune exposition directe des informations médicales en clair.

La plateforme n’est pas en mesure d’identifier avec certitude les personnes touchées par ce vol de données. Mais elle considère que l’ensemble des titulaires d’un carnet de vaccination numérique est susceptible d’être concerné par l’incident. Les responsables de MesVaccins.net ont mis en œuvre des mesures de sécurité renforcée pour contenir la fuite, notifié la CNIL (c’est obligatoire) et déposé plainte.

Ces données peuvent être utilisées dans des attaques de phishing. Le site conseille de faire preuve d’une vigilance particulière à la réception d’emails, de SMS ou d’appels téléphoniques inhabituels réclamant des informations personnelles. Vérifiez systématiquement l’identité de l’interlocuteur et ne communiquez aucune information sensible : un conseil qui doit faire office d’hygiène de vie numérique pour tout le monde. Le site du gouvernement sur la cybermalveillance peut aussi être une adresse utile (https://www.cybermalveillance.gouv.fr).

Les services de MesVaccins.net, dont le Carnet, sont toujours accessibles et peuvent être utilisés normalement. L’entreprise affirme avoir isolé les systèmes touchés, reconstruit son infrastructure de production, sécurisé davantage l’accès au code source et lancé des audits de sécurité supplémentaires, tout en revoyant ses procédures internes de gestion des accès. Le site est intégré à la plateforme officielle Santé publique France, qui utilise son moteur pour fournir des recommandations vaccinales personnalisées.

Commentaires (14)

votre avatar
Si je comprends bien, ce site est proposé par une association, le Groupe d’Etudes en Préventologie. Pourquoi ce n'est pas l'Etat ou l'Assurance Maladie qui porte un tel sujet central ?
De plus, ce site ne m'inspire pas confiance...

Edit : et il semblerait qu'il ne couvre que la Nouvelle-Aquitaine https://www.mesvaccins.net/web/cevaq
votre avatar
N'importe qui peut créer son carnet de vaccination sur ce site et n'importe quel médecin peut y participer également.

J'ai un compte la dessus du coup je ne serais plus le seul à suivre mes rappels :transpi:
votre avatar
et n'importe qui peut aussi lire le carnet, le copier, le diffuser etc.
Systeme de récolte de donnée pour le plus gd bénéfice de qui ? à qui ces données auraient été vendues (peut importe le procédure) si elles n'avaient pas été volées ?
Tu fais une image de tes certif de vaccination et tu les stockes, même dans ton smartphone,
Tu as un carnet de vaccination, aussi valable que celui de cette officine, c'est à dire sans aucune validité, quand il est nécessaire d'avoir ce dit carnet…
Comme d'hab, confier ses données personnelles à une quelconque officine commerciale, faut être maso, mais là y-a pas de vaccin…
votre avatar
et n'importe qui peut aussi lire le carnet, le copier, le diffuser etc.
Source ?

Sinon, tu as un descriptif assez complet du traitement des données personnelles sur la page de leur site.

Je ne vois nulle part de transfert de données vers des tiers non autorisés par la personne.

Les seuls cas prévus sont après anonymisation sont plutôt limités :
Le GEP peut procéder à un traitement d’anonymisation des données collectées à des fins d’études scientifiques ou statistiques, au seul usage des autorités sanitaires (Haute Autorité de Santé, Agence nationale de santé publique, INSERM, Autorités régionales de santé, Ministère de la Santé).
votre avatar
Et ?
votre avatar
Si on suit son commentaire, la conclusion est simple :
tu es maso ! :D
votre avatar
Ça j'avais bien compris :-D

Mais j'avais l'impression qu'il en avait gros sur la patate notre ami, j'ai crû ressentir une sorte d'appel à l'aide.
votre avatar
je n'ai rien sur la patate ;-( sauf à constater que ces officines parasites ne sont pas dignes de confiance.
Sauf a être détenues par une fondation qui bloque toute possibilité de revente, d'entrisme ou autre dévoiement du but initial, je ne comprends pas comment on peut faire confiance à de telles structures, et je persiste, sauf à vouloir faire preuve de masochisme….
votre avatar
À deux doigts de penser que la santé fait parti du secteur caritatif...
votre avatar
et puis quoi encore ??
La santé est un droit, comme l'eau, le logement, la nourriture, enfin devrait l'être ; quand à ce qui est caritatif, même pas la peine de s'attarder sur ce concept… mais peut être que le capitalisme est foncièrement caritatif
votre avatar
La plateforme, qui centralise les données de vaccination et propose un carnet de vaccination numérique
Ce site n'est en rien un site officiel et ne gère donc que les données des personnes ayant créé un carnet de vaccin numérique chez eux.

En creusant un peu à partir de la page mentions légales :
Le propriétaire de ce site est l’association Groupe d’Etudes en Préventologie, immatriculée au Registre National des Associations
Le directeur de la publication est le Professeur Jean-Louis KOECK.
Le GEP est responsable du traitement des données à caractère personnel effectué par ce service. Il en sous-traite la réalisation à SYADEM, qui lui-même recourt aux services de l’hébergeur OVHcloud.
OVHcloud est certifié en tant qu’hébergeur de données de santé.
Et celles de SYADEM :
Directeur de la publication : Pr Jean-Louis KOECK
Donc le même prof de médecine des 2 côtés : association et société lucrative assurant le traitement des données médicales. Les deux sont domiciliées à la même adresse.


S'appuyer sur un hébergeur certifié en tant qu’hébergeur de données de santé suffit-il pour protéger ces données ? En quoi consiste le "codage" de ces données ?
On aura peut-être des réponses un peu plus tard.
votre avatar
L'HDS se décompose plusieurs niveaux. Les premières sont bien à la charge de l'hébergeur. Maintenant à vérifier si l'hébergement choisi est bien labellisé HDS.

Mais sur les dernières, notamment celle qui couvre la maintenance, les sauvegardes et le support des applications j'ai un doute. D'autant plus que les mentions légales indiquent que SYADEM est responsable de la réalisation du service.

Les niveaux 4, 5 et 6 ne sont probablement pas respectés esante.gouv.fr République Française
votre avatar
OVH a bien l'air d'être certifié HDS sur les 6 points.
D'autant plus que les mentions légales indiquent que SYADEM est responsable de la réalisation du service.
C'est plus ce point qui me gène, mais si les traitements sont bien faits sur des machines OVHcloud "certifiées" et que les données de santé sont bien chiffrées (en dehors du moment où elles sont traitées sur ces machines), cela peut suffire à assurer la sécurité.
Si le "codée" de leur communiqué veut bien dire "chiffrée", ça doit rester protégé.
votre avatar
C'est un peu bizarre que les vaccins ne soient pas mieux intégrés à Mon Espace Santé... alors que le reste est plutôt bien fichu.