S'il était certain que des données avaient été piratées après la cyberattaque qui a visé en août dernier le centre hospitalier sud francilien de Corbeil-Essonnes (91), il apparaît désormais clair que des données personnelles directement liées aux patients de l'hôpital ont été divulguées.
Cible d'une cyberattaque en août dernier, le Centre hospitalier sud francilien (CHSF) avait refusé de payer la rançon réclamée par les hackers, et les données piratées ont fini par être divulguées le 23 septembre dernier. Et il s'agirait d'informations particulièrement confidentielles, issues des dossiers médicaux des patients de cet hôpital situé à Corbeil-Essonnes (91), selon une enquête de France Info.
Les données publiées sur le site des hakers
Comptes-rendus nominatifs de coloscopie, d'accouchement ou encore d'examens gynécologiques... Le groupe de pirates russophones Lockbit 3.0 n'a pas hésité à dévoiler sur le darknet la plus stricte intimité des patients de cet hôpital francilien, piraté dans la nuit du 20 au 21 août dernier, paralysant les systèmes informatiques de ce haut lieu de santé.
«Le 23 septembre, les cybercriminels ont mis à exécution leur menace de divulgation», a ainsi fait savoir le CHSF dans un communiqué, qui affirme que les «données exfiltrées ont été publiées sur leur site». Des données qui, «au regard des premières investigations conduites par les experts mobilisés», concernent «les usagers, le personnel ainsi que les partenaires» de l'hôpital.
«Il convient de considérer que certaines de leurs données administratives dont le NIR (numéro de sécurité sociale) et de leurs données santé telles que des comptes-rendus d’examen et en particulier des dossiers externes d’anatomocytopathologie, de radiologie, laboratoires d’analyse, médecins figurent potentiellement parmi les données divulguées sur le site des attaquants», poursuit la direction.
Un million de personnes potentiellement concernées
Et si celle-ci est incapable de dire qui est concerné et jusqu'à quel niveau, elle a pris le temps d'envoyer un mail à chacun des patients et anciens patients du centre hospitalier pour leur présenter la situation. Soit plus d'un million de personnes.
Pour rappel, le 12 septembre dernier, les cybercriminels avaient lancé un ultimatum de diffusion en masse des données en publiant sur leur site quelques preuves d’exfiltration des données. Un chantage qui n'avait néanmoins pas fait changer d'avis l'hôpital, qui avait déjà annoncé ne pas être prêt à payer la rançon exigée.
Par contre, dès le lendemain, la direction du CHSF avait prévenu par voie de presse, sur son site internet et les réseaux sociaux les personnes susceptibles d’être concernées, afin notamment de «les sensibiliser sur les risques que pourrait engendrer une éventuelle divulgation des données».
L'enquête, lancée dès le lendemain de l'attaque et confiée au centre de lutte contre les criminalités numériques (C3N) à la suite de la plainte déposée le 21 août, est toujours en cours et «continue d’être alimentée régulièrement», assure le CHSF.