Registre suisse du don d’organes: identités mal vérifiées et données non protégées

Selon une enquête de la cellule d’investigation de la télé alémanique SRF Investigativ, le registre national en ligne du don d’organes présente des lacunes en matière de sécurité et de protection des données. Menée en collaboration avec la société ZFT.Company, l'enquête formule principalement un reproche: la plateforme Swisstransplant peut faire de toute personne un donneur d'organes à son insu. Les exploitants de la plateforme ne vérifieraient pas suffisamment l'identité des personnes qui s'enregistrent. Le rapport de ZFT.Company, firme spécialisée dans la sécurité de l'information, montre qu’il est possible de s'inscrire au registre avec une photo trouvée sur le web.

Inscription d’une personne à son insu

«En raison des possibilités de manipulation lors de la soumission d'une photo d'une personne ou du scan d'un document d'identité, il n'est garanti à aucun moment de l'enregistrement que le consentement est également exécuté par la personne concernée», indique le rapport. Les enquêteurs ont pu inscrire une personne dans le registre à son insu et sans son consentement.

ZFT.Company recommande d'établir l'identité de la personne souhaitant s'inscrire «de manière juridiquement valable par des instances indépendantes de l'utilisateur et autorisées». En outre, le rapport souligne que les décisions des personnes enregistrées sur la plateforme devraient être considérées comme non authentiques et devraient être vérifiées.

Serveurs accessibles à tous

La procédure d'authentification à deux facteurs (2FA) du registre, basée sur l'e-mail et le SMS, est aussi pointée du doigt. «Un code envoyé par SMS ou par e-mail ne répond pas aux exigences d'un facteur de possession. Le simple fait d'accéder à un e-mail est suffisant pour réussir l'authentification sans autre facteur», indique le rapport. Plus inquiétant encore: il serait également possible à un attaquant non authentifié de lire n'importe quel fichier sur le serveur du registre des dons d'organes et de consulter, voire de manipuler, les données relatives aux transplantations.

L'exploitant se défend

La fondation Swisstransplant, qui exploite la plateforme du même nom, a retiré le registre des dons d'organes du réseau pendant quelques jours après avoir pris connaissance des reproches. Le registre est désormais à nouveau en ligne. Dans une prise de position, la fondation reconnaît qu'en raison d'un processus de validation manquant, il a été possible d'accéder à des fichiers en dehors de la structure de fichiers validée. Le problème a été corrigé, ajoute l'exploitant, qui précise qu'il n'a jamais été possible d'accéder à des données personnelles malgré cette absence de validation, car le registre utilise des chemins d'accès et des noms de fichiers impossibles à deviner.

Concernant l’authentification à deux facteurs, Swisstransplant estime «que les exigences d'un 2FA sont remplies, car il s'agit de deux composantes différentes et surtout indépendantes (mot de passe et e-mail/SMS)».

Au sujet de la vérification de l'identité des personnes qui s’inscrivent, Swisstransplant assure qu'elle ne serait «pas praticable lors du don d'organes pour des raisons de temps». En cas d'urgence, la fiche de données établie par la fondation est transmise à l'hôpital, protégée par un mot de passe, et présentée physiquement aux proches de la personne concernée, qui peuvent ensuite la vérifier, affirme l’exploitant de la plateforme. La fondation fait en outre remarquer que l'utilisation de la photo d'une autre personne et la falsification de sa signature constituent des actes punissables. Ajoutant qu’il est possible de falsifier des documents dans pratiquement tous les domaines.

Le PFPDT passe à l’action

Suite à l'enquête de la SRF, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a annoncé avoir ouvert une procédure d’établissement des faits. La révélation des manquements dénoncés est de nature à entamer la confiance du public dans le système régissant le don d’organes en Suisse, fait savoir le PFPDT. Et d’ajouter: «Dans ce contexte, la procédure d’établissement des faits menée par le PFPDT doit contribuer à la mise en place de solutions conformes à la protection des données pour le traitement des données personnelles en question, malgré l’absence d’une identité électronique reconnue par l’Etat».