Le ministre Hugo de Jonge (Santé publique) est revenu vendredi sur sa déclaration précédente selon laquelle la société Formdesk connaissait la vulnérabilité du radar d’infection, que la société a développée pour l’Institut national de la santé publique et de l’environnement (RIVM). En réponse à des questions parlementaires, le ministre écrit qu’un test supplémentaire du RIVM aurait pu prévenir la vulnérabilité.
Début juin, il a été annoncé que le radar d’infection, qui permet aux personnes de signaler leurs symptômes du coronavirus au RIVM, contenait une fuite. En ajustant l’adresse Web, quelqu’un pourrait avoir un aperçu des données que quelqu’un d’autre avait saisies.
De Jonge a initialement affirmé que Formdesk était au courant de la violation de données dans le logiciel, à la surprise de Formdesk lui-même. Le ministre va maintenant revenir sur cette déclaration. « La répartition réelle des rôles entre RIVM et Formdesk diffère de ce que j’ai rapporté le 9 juin », explique De Jonge.
Deux vulnérabilités différentes
Les réponses aux questions parlementaires montrent qu’au début de juin, De Jonge a confondu deux vulnérabilités différentes. Avant la mise en ligne du radar d’infection, une analyse des risques réalisée par le RIVM a montré qu’il existait un risque d’utilisation abusive des données URL. Formdesk a communiqué au RIVM comment ce risque pourrait être évité et le RIVM a mis en œuvre ces mesures.
Plus tard, une vulnérabilité a été trouvée ailleurs dans le logiciel. En raison de cette vulnérabilité, les adresses Web pourraient être manipulées. Cela a finalement conduit à la violation de données. Cette vulnérabilité n’a jamais été révélée et n’a donc pas été signalée à Formdesk.
Selon De Jonge, un contrôle de sécurité supplémentaire par RIVM aurait pu empêcher la violation de données après les mesures antérieures prises par Formdesk.
Lors d’une conversation avec NU.nl, Formdesk confirme qu’il s’agissait bien de deux vulnérabilités différentes et souligne que l’entreprise et RIVM sont en bons termes.
www.nu.nl