PIRATAGE - Nom, prénom, numéro de carte vitale... des informations sensibles appartenant à un demi-million de personnes circulent librement sur Internet. On revient sur l'ampleur de cette fuite inédite, qui fait l'objet d'une enquête judiciaire, indique ce jeudi le parquet de Paris.
Après les hôpitaux de Dax et Villefranche sur-Saône, les attaques informatiques ont fait de nouvelles victimes. Cette fois, les laboratoires se sont retrouvés dans le viseur des hackeurs. Des données médicales sensibles concernant près de 500.000 Français ont été publiées sur Internet à la suite d'un piratage informatique. Deux semaines après la découverte de cette fuite d'une ampleur inédite, la section cybercriminalité du parquet de Paris a ouvert mercredi une enquête, indique ce jeudi le parquet à l'AFP.
L'enquête, confiée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), a été ouverte du chef d'"accès et maintien frauduleux dans un système de traitement automatisé de données" et "extraction, détention et transmission frauduleuse" de ces données, précise le parquet. Alors que les contours de cette affaire restent à déterminer précisément, nous revenons sur l'importance d'un tel fichier et les conséquences possibles pour les patients concernés.
Les données sensibles qui circulent
Que peut-on découvrir dans cette liste de données en libre accès ? Tout d'abord, on tombe sur des informations classiques. "Le prénom, le nom, l’adresse personnelle, le numéro de téléphone… ", égrène Baptise Robert, fondateur de Predicta Lab, une entreprise spécialisée dans la lutte contre la désinformation à Toulouse. Mais ce n’est pas tout. Ces renseignements sont parfois accompagnés d'indications sur le groupe sanguin, le médecin traitant ou la mutuelle. Par ailleurs, certains commentaires sur l'état de santé des patients (dont une éventuelle grossesse), des traitements médicamenteux, ou des pathologies (notamment le VIH) peuvent aussi être visibles.
En plus des informations médicales, des données plus confidentielles sont accessibles : les numéros de carte vitale, de mutuelles ainsi que les mots de passe nécessaires pour accéder à l’"espace patient" des laboratoires. Et pour atteindre cette banque de données, inutile d'être un hackeur professionnel. "Cette base de données ne se trouve pas sur le dark web. Elle est sur internet normal, en accès libre", précise Baptiste Robert. D'ailleurs, le professionnel accède à ce catalogue hors du commun en quelques minutes. "On peut retrouver ce fichier à sept endroits différents sur internet", indique de son côté Damien Bancal, journaliste spécialiste de la cybersécurité, qui a le premier identifié la fuite le 14 février sur son blog Zataz.
Cinq départements du Nord-Ouest concernés
Les 491.840 patients concernés ont fréquenté des laboratoires d’analyse dans cinq départements du Nord-Ouest de la France : Morbihan, Eure, Loiret, Côtes-Armor et le Loir-et-Cher. Au total, une trentaine d’établissements sont touchés selon la rubrique de vérification Checknews du quotidien Libération à l'origine d'une enquête sur le sujet. De leurs côtés, les laboratoires affirment qu'ils n'ont pas été mis au courant du piratage informatique. Sollicitées mardi soir par l'AFP, l'Agence nationale des systèmes d'information (Anssi), le gendarme des données personnelles (Cnil) et la direction générale de la santé (DGS) n'étaient pas en mesure de commenter.
Le piège se referme
Gérome Billois, expert en cybersécurité pour le cabinet Wavestone
Et les conséquences d'une telle fuite peuvent être importantes pour le patient. En effet, des personnes malveillantes pourraient utiliser les services des patients afin d'organiser des arnaques à leurs dépens. Plus concrètement, un pirate peut utiliser ces données pour usurper une identité. Gérome Billois expert en cybersécurité pour le cabinet Wavestone explique le processus au micro de TF1 : "L’auteur de la fraude peut vous envoyer un email contenant la date de votre examen et le laboratoire. Dans ce message, ils vous écrivent qu’un remboursement est possible."
Souvent, les messages sont très réalistes. Le patient est alors tenté d’indiquer le numéro de sa carte bancaire. "Vous croyez au message qui est extrêmement réaliste par rapport à ce que vous avez vécu. C’est là que le piège se referme", souligne le spécialiste. Pour le moment, il n’existe aucun moyen de savoir si vous avez été berné par un pirate. Si vous habitez dans le Nord-Ouest, il est donc conseillé de changer votre mot de passe par précaution et de faire attention aux emails que vous recevez.
Lire aussi
27 en 2020, une par semaine depuis janvier : les cyberattaques des hôpitaux français se multiplient
Lire aussi
Qu’est-ce que le rançongiciel, qui se cache derrière de plus en plus de cyberattaques en France ?
Lire aussi
"Plus un seul ordinateur ne fonctionne": la cyberattaque contre l'hôpital de Dax provoque la pagaille
Mais comment en sommes-nous arrivés là ? Toujours selon Checknews, les laboratoires interrogés utilisaient un même logiciel de saisie de renseignements médico-administratifs édité par le groupe Dedalus. Un logiciel qui a été progressivement abandonné - les dernières données présentes remontent à 2019. Dans les colonnes de Libération, la direction de Dedalus estime qu'il est possible qu'un problème a pu toucher des migrations de données depuis la plate-forme. Ils n'ont formulé aucune autre précision sur l'origine de la faille.
Selon le journaliste spécialiste de la cybersécurité Damien Bancal, ce fichier était l'objet d'une négociation commerciale entre plusieurs pirates sur un groupe Telegram spécialisé dans l'échange de bases de données volées et l'un d'entre eux l'a diffusé sur le web suite à une dispute.
Un site pour vérifier si ses données ont été piratées
Acceis, une société de Rennes, spécialisée en cybersécurité, vient de mettre en ligne une page permettant à chacun de savoir si ses informations sont concernées par la fuite de données. Pour le vérifier, il convient simplement d'indiquer son numéro de sécurité sociale.