Méga-fuite de données de santé : les dessous d’un piratage massif

données de santéDonnées médicalesHigh Tech

Près de 500.000 dossiers médicaux de patients ont été mis en ligne sur le net par un cybercriminel. Il aurait agi à la suite d’une dispute sur l’application Telegram.

carte

Les données de santé piratées comprenaient le nom des patients, leur âge, leur numéro de sécurité sociale mais aussi une possible grossesse ou une contamination au VIH.

RAPHAEL DE BENGY / Hans Lucas via AFP

C’est une situation inédite en France. Les données de santé de 491.840 patients ont été publiées en libre accès sur Internet, selon une enquête de nos confrères du journal Libération. Numéro de Sécurité sociale, date de naissance, groupe sanguin, numéro de téléphone portable, identité du médecin prescripteur ainsi que dans certains cas par des commentaires plus précis sur l’état de santé du patient (grossesse, surdité, VIH)… au total, parfois plus de 60 informations pour un seul et même patient. Les résultats d’analyses, ou les dossiers médicaux des patients, ne sont pas directement répertoriés dans la base.

Le fichier, qui a été publié sur pas moins de sept sites différents sur Internet, accumule les données d’une trentaine de laboratoires de biologie médicale situés, pour la plupart, dans les départements du Morbihan, de l’Eure, de la Loire, des Côtes-d’Armor et dans une moindre mesure du Loir-et-Cher. Les dossiers concernent des patients qui se sont rendus dans le laboratoire pour des analyses médicales entre 2015 et octobre 2020. Les patients piratés, estime Libération,« sont des cibles de choix pour du phishing personnalisé (envoi de faux messages ou de faux documents pour récupérer des informations personnelles ou de l’argent) ». Mais ils peuvent aussi, par exemple, faire l’objet de tentative d’usurpation d’identité, ou d’usurpation de numéro de Sécurité sociale.

Des documents publiés après une dispute

Quel est l’intérêt pour des cybercriminels de publier une telle liste sur Internet ? Il n’y en a pas vraiment. En temps normal, lorsque des cyberpirates s’attaquent au réseau informatique d’une structure de santé, leur stratégie consiste à bloquer l’accès aux logiciels et à demander une rançon pour remettre le service en marche. Si des données ont été dérobées sans « ransomware » (logiciel de rançon), alors elles sont revendues illégalement sur le « dark net ». Cette fois, « cette publication a été faite gratuitement, ce qui est extrêmement étonnant« , estime le spécialiste de sécurité informatique Baptiste Robert sur France Culture. « Elle a été faite gratuitement sur des places de marché où le but du jeu est de faire de l’argent, de vendre et d’acheter des bases de données. C’est très étrange qu’un pirate publie des données aussi personnelles, donc en théorie chères, et le fasse gratuitement. »

Selon Damien Bancal, le journaliste spécialisé qui a identifié la fuite et publié à ce propos sur son blog Zataz, le fichier était l’objet d’une négociation commerciale entre plusieurs cyberpirates. Ces derniers échangeaient sur un groupe spécialisé dans la revente de données sur l’application de smartphone chiffrée Telegram. A la suite d’une dispute au sein du groupe, l’un des cybercriminels aurait décidé de publier les données sur Internet, ce qui lui a fait perdre toute valeur marchande.

« Les données médicales de patients ont une valeur importante. On estime qu’une seule donnée de patient à la revente vaut environ 250 dollars« , explique Stéphane Duguin, président du Cyberpeace Institute, une ONG qui défend la « cyberpaix » et propose des solutions d’assistance aux victimes. Qui rachète ces données de santé sur Internet en temps normal ? « La vente se fait a n’importe quel groupe criminel qui utilise ces données de phishing, comme pour ouvrir de faux comptes. Ils peuvent également faire du chantage, menacer de publier ces informations confidentielles relatives à leur santé et se faire payer pour garder le silence. » Le spécialiste précise que ce n’est pas parce qu’il s’agit de données intimes que les cybercriminels font preuve de plus de souplesse. « Ces cyberpirates n’ont pas d’éthique. Le groupe Maze [un groupement de cyberpirates connu, ndlr] par exemple avait déclaré qu’il n’attaquerait jamais des hôpitaux mais l’a fait quand même. »

Un lanceur d’alerte licencié en 2020

Les données piratées et divulguées proviennent toutes de laboratoires de biologie médicale utilisant tous un logiciel aujourd’hui obsolète appelé Mega-Bus, commercialisé depuis 2009 par la société Medasys, une filiale de Dedalus France, qui produit et intègre des logiciels spécialisés dans le monde de la santé. Elles émanent de laboratoires de biologie médicale ayant pour point commun d’avoir utilisé un logiciel baptisé Mega-Bus, désormais obsolète mais commercialisé depuis 2009 par la société Medasys. Cette société avait déjà fait parler d’elle en 2020.

Moins d’une semaine après le début du confinement, le 22 mars 2020, les hôpitaux de l’Assistance publique des hôpitaux de Paris (APHP) avait été la cible d’une attaque informatique. En parallèle, un développeur de 28 ans et employé de Dedalus France avait identifié une faille de sécurité permettant aux cyberpirates d’entrer dans le système de plus de 150 infrastructures médicales, dont les hôpitaux de l’AP-HP. Ce « passionné de cybersécurité », comme le décrit le site Nextimpact, avait mis le doigt sur une fuite de 4 Go de données ainsi que de 1.400 emails accessibles sans mot de passe. Il aurait alerté le directeur de la technologie et le PDG italien de Dedalus mais ses mises en garde n’auraient pas été entendues. L’amateur de cybersécurité aurait alors employé les grands moyens et contacté un haut responsable de la sécurité informatique du gouvernement. Ce dernier aurait alors demandé à Dedalus France de réparer la faille avant que le développeur de 28 ans, devenu lanceur d’alerte, ne se fasse licencier « pour faute grave. »  Dedalus avait aussi été victime, sur son site de Mérignac, en Gironde, d’une attaque informatique de type ransomware en décembre 2020. Dedalus assure ne pas être responsable de ce nouvel incident. »Si le réseau du client, à un moment donné, n’est pas sécurisé, il peut y avoir un moment où le fichier est disponible. Ce n’est pas une faille du logiciel : c’est un moment particulier où les données ne sont plus dans le logiciel mais dans un fichier« , explique Didier Neyrat, le directeur général délégué de Dedalus France à Usine Nouvelle.

Le Parquet de Paris a lancé une enquête pour piratage informatique et confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).

Source: Sciencesetavenir.fr
vous pourriez aussi aimer Plus d'articles de l'auteur
laissez un commentaire