1. Accueil
  2. Actu
  3. Tech
  4. Fuite de données de santé : comment se protéger si vous êtes dans le fichier
4 min de lecture

Fuite de données de santé : comment se protéger si vous êtes dans le fichier

Les personnes figurant dans le fichier de données médicales vont devoir être extrêmement vigilantes à l'avenir face aux sollicitations par courrier, mail et SMS.

Sécurité sociale : une carte Vitale (illustration).
Sécurité sociale : une carte Vitale (illustration).
Crédit : FRED TANNEAU / AFP
Benjamin Hue
Benjamin Hue

Après la révélation de la fuite massive de données de santé qui a compromis les informations personnelles et médicales de près d'un demi-million de Français, se pose la question des démarches à mettre en oeuvre pour se protéger des attaques par phishing mais aussi des usurpations d'identité qui pourraient être réalisées par des individus malveillants dans les prochains mois.

Les personnes figurant dans le fichier n'ont pas encore été prévenues par les organismes responsables de la fuite de données, a priori une trentaine de laboratoires d'analyses du nord-ouest du pays. Deux enquêtes sont toujours en cours pour déterminer les responsabilités des différentes entités qui sont légalement tenues de notifier les victimes. Le groupe Océalab, dont plusieurs laboratoires bretons ont été touchés par l'incident, a indiqué qu'il allait écrire aux patients concernés dans les prochains jours.

En attendant de connaître l'issue de ces procédures légales, il est déjà possible de vérifier si un nom ou un numéro de sécurité sociale figure dans le méga fichier. Des spécialistes en cybersécurité ont mis en ligne des moteurs de recherche dédiés. Nous ne pouvons pas relayer ici ces initiatives car elles sont fondées sur des données issues d'une infraction et sont donc illégales. Mais il est facile de les trouver en faisant une recherche sur Internet.

Une soixantaine de données par patient

Quelles options se présentent aux victimes ? La première chose à faire est de mesurer l'ampleur des données concernées. Le fichier contient une soixantaine d'informations personnelles par patient. Il y a de simples coordonnées, comme l'adresse, le numéro de téléphone ou le mail. Mais il y a aussi des données très sensibles, comme le numéro de sécurité sociale, le groupe sanguin, le nom et le numéro de médecin traitant. 

À lire aussi

On trouve aussi des informations sur les pathologies dont souffrent les patients et des mots de passe en clair (non chiffrés), utilisés pour accéder aux résultats d'examen en ligne. 

La diversité et l'authenticité de ces données - on ne fournit généralement pas de fausse information à un laboratoire d'analyses - donnent une idée de l'étendue des menaces possibles. Les pirates qui se sont procuré le fichier peuvent frapper partout - mail, SMS, téléphone, courrier - et utiliser de nombreux subterfuges pour mener à bien leurs escroqueries.

Vérifier vos mots de passe et faites attention aux sollicitations

Il s'agit en premier lieu de vérifier que vos mots de passe n'ont pas été compromis. Selon les constatations de Libération, les mots de passe figurant dans le fichier ne sont pas des suites de caractères aléatoires. Cela signifie qu'ils ont été choisis et peuvent potentiellement être utilisés pour accéder à d'autres comptes en ligne. Si vous pensez être dans cette situation, faites le point sur vos différents services et optez pour des mots de passe forts et uniques.

Les informations personnelles contenues dans la fuite sont intéressantes à différents points de vue pour les cybercriminels. Ils vont pouvoir les croiser avec d'autres bases de données pour essayer d'étoffer le profil des individus concernés avec de nouvelles informations et renforcer la crédibilité de leurs futures opérations avec des informations bien réelles, comme le numéro de sécurité sociale.

Le fichier est d'autant plus intéressant qu'il contient des données authentiques qui ne peuvent pas être modifiées. Les pirates vont pouvoir les utiliser pour mener des campagnes de phishing ciblées. Les personnes présentes dans la base de données sont susceptibles de recevoir des appels, des courriers, des mails ou des sms non sollicités et de faire l'objet de démarchage sauvage.

Soyez prudents : passez directement par les sites officiels des organismes qui vous écrivent

Grâce à la précision des informations contenues dans le fichier, ces escroqueries pourront être personnalisées et paraître très crédibles, en matière de santé notamment. Les pirates pourront se faire passer pour un laboratoire d'analyses, le médecin traitant ou un hôpital visité par le passé, prétexter un rendez-vous médical ou le suivi d'une consultation réelle pour inciter les victimes à fournir d'autres données personnelles ou des informations bancaires, à cliquer sur des liens malveillants ou ouvrir des pièces jointes piégées.

Cette affaire est donc une sérieuse incitation à faire preuve de beaucoup de vigilance à l'avenir face aux sollicitations en tout genre. Si vous recevez un mail relatif à une actualité médicale, veillez à bien recouper les informations directement auprès de l'organisme concerné, soit par téléphone soit sur son site officiel. Ne renseignez jamais d'informations personnelles, de mot de passe ou de code numérique dans le corps d'un email ou en réponse à un SMS. Privilégiez les canaux officiels.

Un risque d'usurpation d'identité

Les données compilées dans le fichier peuvent aussi être utilisées pour usurper l'identité des patients. Des escrocs pourraient demander un extrait de casier judiciaire pour monter des dossiers de crédit, s'inscrire sur des services en ligne et mener des activités parallèles au nom des victimes. Les données divulguées sont aussi suffisantes pour obtenir une carte vitale ou des ordonnances en pharmacie. 

Veillez donc à surveiller les mouvements sur vos différents comptes. Surveillez aussi la bonne réception des factures et du courrier en général. En cas de doute, vous pouvez vérifier qu'aucun compte n'a été ouvert à votre nom sous votre identité en consultant le fichier des comptes bancaires FICOBA (via une saisie de la Cnil) ou en contactant directement la Banque de France.

Lorsque les autorités auront fait la lumière sur la chaîne de responsabilité à l'origine de la fuite, les victimes pourront engager des poursuites pour demander une indemnisation au responsable de traitement des données à condition de pouvoir démontrer une faute de sa part. Une action groupée pourra aussi être engagée par l'intermédiaire d'une association ou en saisissant un avocat représentant plusieurs victimes.

La rédaction vous recommande

Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires.
Cette inscription sera valable sur le site RTL.fr.

Signaler un commentaire

En Direct
/