Panne massive du registre national des dons d’organes de la « Fondation nationale suisse pour le don et la transplantation d’organes » (Swisstransplant) : des experts de l’entreprise de sécurité informatique ZFT.Company ont découvert qu’il était possible, dans le registre en ligne, d’inscrire n’importe quelle personne à son insu et sans son consentement et de la transformer ainsi involontairement en quasi donneur d’organes. Les chercheurs ont souligné dans ce contexte des « lacunes significatives en matière de sécurité ».

Pour que des organes et des tissus puissent être prélevés en Suisse à des fins de don ou de recherche, la personne concernée doit donner son consentement éclairé (opt-in). Outre les directives anticipées ou la carte physique de donneur d’organes, le registre de Swisstransplant constitue une option numérique pour documenter une telle décision. Selon ZFT, l’un des grands défis à cet égard est « l’établissement de l’identité des personnes concernées ».

« Processus d’enregistrement et de consentement déficient »

Selon leur rapport publié mardi, les experts en sécurité ont déjà constaté des failles critiques lors d’un « examen sommaire » de la base de données en ligne. Ils n’abordent que celles qui présentent un « risque élevé ». Parmi celles-ci, ils citent un « processus d’enregistrement et de consentement déficient », un « mécanisme d’authentification insuffisant ainsi qu’un contrôle insuffisant des paramètres de saisie ». En outre, il aurait été possible de lire et de télécharger tous les fichiers sur le serveur de l’application.

Les conséquences des lacunes identifiées « sont une perte totale de la confidentialité, de l’authenticité et de l’intégrité » des données saisies dans le registre, dénoncent les chercheurs. Il serait notamment impossible de savoir qui a rédigé quelles décisions dans ce registre. Les prétendus consentements « ont pu être donnés sans peine et sans risque d’être découverts au nom de tiers ».

Selon leurs propres dires, les découvreurs ont communiqué les défauts aux responsables. Ils ont en outre informé la fondation, l’Office fédéral de la santé publique (OFSP), le préposé fédéral à la protection des données (PFPDT), Adrian Lobsiger, ainsi que le Centre national de cybersécurité (NCSC).

Identification par un document d’identité supplémentaire

La chaîne suisse SRF a vérifié les allégations. Le conseiller ZFT Sven Fassbender a inscrit pour lui, via une tablette, un reporter initié avec ses données personnelles, y compris une photo. Il avait auparavant trouvé l’adresse, la date de naissance et la photo du journaliste sur Internet. Quelques minutes plus tard, une confirmation est arrivée sur une adresse e-mail créée au nom de la personne testée : « Merci beaucoup pour votre inscription au registre national des dons d’organes. Nous l’avons vérifiée et activée ». Le tout accompagné de la remarque suivante : « En cas d’urgence, votre décision sera soumise à vos proches et appliquée sans aucun doute ».

Swisstransplant a mis le registre temporairement hors ligne après l’annonce et a corrigé les failles de sécurité, du moins en partie. Entre-temps, la banque de données est à nouveau en ligne, mais l’enregistrement via le site web ou par courrier n’est actuellement pas possible. Un « échange étroit » a lieu avec le PFPDT, « qui examine actuellement les faits ». Les deux parties évaluent ensemble « les prochaines étapes ». L’objectif est « d’obtenir éventuellement une identification avec une pièce d’identité supplémentaire lors de l’enregistrement en ligne ».

Pas de consultation ou de traitement de données personnelles

Auparavant, la fondation avait souligné dans une prise de position adressée à la SRF qu’elle avait « délibérément conçu le processus d’enregistrement de manière conviviale ». Les exigences d’une authentification à deux facteurs sont remplies, car un mot de passe et un e-mail ou un SMS sont utilisés. En cas d’urgence, une décision concernant le don d’organes serait soumise aux proches et pourrait ainsi encore être modifiée si elle ne correspondait pas à la volonté présumée du défunt.

« A aucun moment, des données personnelles n’ont pu être consultées ou traitées. Les inscriptions existantes dans le registre sont sûres », souligne Swisspatent dans une déclaration publique. Comme mesure immédiate, les unités de soins intensifs ont reçu l’instruction « de procéder, lors de l’entretien avec les proches, à la validation de la photo du portrait, de l’e-mail et de la signature en présence d’une inscription en ligne au registre, en plus d’un document d’identité de la personne décédée ».

A la mi-janvier, environ 130.000 personnes souhaitant faire un don s’étaient inscrites au registre. Sur la question de savoir si ces mentions doivent maintenant toutes être vérifiées, M. Lobsiger, responsable de la protection des données, n’a pas encore voulu prendre position auprès de la SRF en raison de la procédure en cours. Il a toutefois souligné qu’il s’agissait pour lui de maintenir la confiance dans le système de prélèvement d’organes.