Les établissements de santé français semblent être devenus des cibles de choix pour les pirates informatiques. Après les hôpitaux de Dax et Villefranche-sur-Saône, une trentaine de laboratoires de biologie médicale ont également été visés par une cyberattaque durant laquelle les données médicales de près de 500.000 personnes ont été dérobées.
Ce fichier, qui circule à présent sur internet, comporte précisément 491.840 noms, associés à des coordonnées (adresse postale, téléphone, mail) et un numéro de sécurité sociale.
[ Plus de 400.000 données de patients français vendus dans le blackmarket ]
Vente de données appartenant à +400.000 patients . Id, téléphones, médecins, numéros de sécurité sociale ...
https://t.co/08Ml43Mc2C#Cybersecurite #lundimotivation #actualite pic.twitter.com/vv9jWCPLpV— ZATAZ - "\o/" (@zataz) February 15, 2021
Dans certains cas d'autres informations sont également indiquées, tel que le groupe sanguin, le médecin traitant, la mutuelle... Ou encore des précisions sur l'état de santé (grossesse ou VIH, par exemple) et les traitements suivis par le patient.
Selon l'enquête menée par Checknews, le service de vérification des faits de Libération, ces données correspondent à des prélèvements effectués entre 2015 et octobre 2020. A cette période, les laboratoires concernés utilisaient tous le même logiciel de saisie, édité par Dedalus.
Pour le directeur général délégué de ce groupe, Didier Neyrat, il n'y a pour l'heure «aucune certitude quant au fait que ce soit uniquement un logiciel Dedalus France qui est en cause dans cette affaire». Une «cellule de crise» a néanmoins été mise en place «pour comprendre ce qu'il s'est passé».
Un fichier consultable en 7 endroits sur le web
La fuite a été identifiée le 14 février par Damien Bancal, journaliste spécialiste de la cybersécurité, qui l'a signalée sur son blog Zataz. Il affirme que ce fichier faisait l'objet d'une négociation commerciale sur Telegram et que l'un des pirates impliqués l'a finalement diffusé sur le web en raison d'un désaccord.
Damien Bancal précise que ces données sont consultables «à 7 endroits différents sur internet» et n'exclut pas «que les pirates en possèdent encore beaucoup plus».
Pourtant, l'Agence nationale de la sécurité des systèmes d'informations (Anssi) assure avoir identifié l'«origine» de la fuite des données de santé en novembre 2020. Elle précise par ailleurs avoir signalé le problème au Ministère des Solidarités et de la Santé à cette époque.
Ce mercredi 24 février, la Commission nationale de l'informatique et des libertés (Cnil) indique en outre que les entreprises concernées ne lui ont toujours pas notifié cette violation de données, alors même que le règlement européen sur la protection des données (RGPD) impose de le faire dans un délai de 72 heures. Louis Dutheillet, secrétaire général de la Cnil, souligne ainsi une affaire d'une «gravité particulière», si l'ampleur de cette fuite est vérifiée.
La recrudescence de ces attaques visant les établissements de santé a conduit le gouvernement à déployer de nouveaux budgets pour renforcer leur sécurité. Selon Cédric O, secrétaire d'Etat chargé du numérique, «il y a eu 27 cyberattaques d'hôpitaux en 2020 et depuis le dénut de l'année 2021». Soit «une attaque par semaine».
