6 min de lecture Vie privée

Fuite de données de santé de 500.000 Français : comment savoir si l'on est dans le fichier ?

Un vaste fichier de données de santé, allant du numéro de sécurité sociale au groupe sanguin, est en libre accès sur Internet depuis plusieurs semaines. Cette base de données fait planer de sérieuses menaces sur les 500.000 Français concernés sans possibilité de recours de leur part pour le moment.

Un laboratoire de recherche (Illustration)
Un laboratoire de recherche (Illustration)
Benjamin Hue
Benjamin Hue
Journaliste RTL

C'est probablement la plus grosse fuite de données de santé jamais observée en France. Les fichiers médicaux de près de 500.000 patients français circulent en libre accès sur Internet depuis plusieurs semaines. 

Diffusée gratuitement par un pirate après l'échec d'une transaction, la base de données est apparue dans les boucles Telegram de plusieurs cercles informatiques ainsi que sur des forums et des réseaux sociaux traditionnels ces derniers jours. Elle se trouve déjà probablement sur des dizaines de sites miroirs à travers le monde.

Nom, prénom, adresse, numéro de sécurité sociale, mots de passe... Le fichier contient en moyenne plus de 60 informations sensibles sur prés d'un demi-million d'assurés français qui constituent désormais des cibles de choix pour de futures tentatives de phishing voire des usurpations d'identité.

D'où provient la fuite ?

L'existence du fichier a été révélée le 14 février par le journaliste spécialisé Damien Bancal sur son site Zataz. À l'époque, le journaliste estimait sur notre antenne que la fuite avait très certainement pour origine le piratage d'un hôpital. 

À lire aussi
Connecté
Motorola, Realme, Xiaomi, Oppo... 6 smartphones récents à moins de 500 euros

L'entreprise française CybelAngel, spécialisée dans la détection des fuites de données des grands groupes, a corroboré l'authenticité de la base de données quelques jours plus tard dans une note.


Selon les informations de Libération, les données sont en fait issues d'une trentaine de laboratoires de biologie médicale situés dans les départements du Morbihan, de l’Eure, du Loiret, des Côtes-d’Armor mais aussi, dans une moindre mesure, du Loir-et-Cher.

Ces laboratoires ont en commun d'avoir utilisé un même logiciel de saisie de renseignements médico-administratifs commercialisé par Dedalus, un des leaders du secteur, qui a la particularité d'avoir installé puis assuré le maintien du parc informatique des établissements compromis. 

Quelques mois plus tôt, un employé du groupe avait été licencié après avoir essayé de prévenir son employeur de l'existence de failles de sécurité dans ses logiciels. Un procès est en cours et l'entreprise se défend pour l'instant de tout lien de causalité avec la base de données qui s'échange aujourd'hui au marché noir.

Quelles informations figurent dans le fichier ?

Les informations portent sur des prélèvements qui ont été effectués entre 2015 et octobre 2020. Mais une nette majorité des données sont issues d'analyses ayant été réalisées entre 2018 et 2019.

Cette fuite d'informations est remarquable par son ampleur et le caractère sensible des données qu'elle implique. Le fichier comporte 491.840 lignes et l'on ne sait pas encore s'il s'agit de l'intégralité ou seulement d'une partie des données dérobées.

Chaque ligne contient jusqu'à 60 informations sur une même personne : nom, prénom, date de naissance, adresse, numéro de téléphone fixe et portable, date du prélèvement, laboratoire, mutuelle, médecin traitant, numéro de sécurité sociale, groupe sanguin et parfois des commentaires relatifs à des traitements, une grossesse ou des pathologies (tumeur, VIH, surdité...).

Le fichier contient aussi les mots de passe utilisés par les patients pour se connecter à leur espace personnel pour retrouver leurs résultats d'analyse sur le site des laboratoires. Selon les constatations de Libération, ces mots de passe ont été choisis, et non définis aléatoirement, ce qui signifie qu'ils peuvent potentiellement être utilisés pour accéder à d'autres services en ligne.

Comment savoir si je suis concerné ?

Il est très rare que les victimes de piratage soient informées. Les organismes victimes d'une fuite de données ont l'obligation légale de la notifier aux autorités dans les 72 heures suivant le moment où ils en ont pris connaissance. Si cette fuite présente un risque élevé pour les droits et les libertés, comme c'est le cas avec des données de santé, ils ont aussi la charge de prévenir les personnes concernées de la compromission de leurs données. Cela n'a pas été le cas ici. 

La Cnil a rappelé dans un billet publié ce mercredi 24 février les obligations en vigueur pour les entreprises traitant des données sensibles. L'agence procède actuellement à des contrôles pour faire la lumière sur les manquements à l'origine de la faille. Mais elle n'a pas encore été notifiée d'une perte de données par les entités responsables.

Si vous avez de bonnes raisons d'estimer que vous faites partie de la base de données, le mieux est de prendre votre mal en patience et de redoubler de vigilance. Il n'existe aucun système rapide pour chercher le nom d'un patient pour l'instant (sauf à accéder au fameux fichier). Pas la peine d'appeler les laboratoires où vous avez réalisé des analyses il y a deux ans. Il y a peu de chance que des informations soient divulguées au téléphone compte-tenu des procédures en cours.

Une trentaine de personnes présentes dans la base de données ont été contactées par le journaliste Damien Bancal début février afin de vérifier l'authenticité du fichier. Les journalistes de Libération ont aussi eu accès au fichier et pu procéder à des vérifications. Mais ce n'est pas aux journalistes de prévenir les personnes concernées. Ils n'en ont ni les moyens, ni la compétence légale.

Quels recours pour les victimes ?

Les autorités doivent désormais remonter le fil des responsabilités. L'Agence nationale de la sécurité des systèmes d'information (Anssi) a indiqué mercredi avoir identifié l'origine de la fuite et l'avoir signalée au ministère de la Santé en novembre dernier. Une fois les responsables mis devant le fait accompli, une procédure de notification aux victimes pourra être enclenchée.

"Toute la question est de savoir où se situe la responsabilité. Comme toujours dans ces affaires, il faut trois à quatre jours pour mener les investigations. Lorsque la lumière aura été faite, les victimes pourront porter plainte : les laboratoires ou l'éditeur de logiciel, pour une intrusion dans leurs systèmes, et les particuliers, dans le cadre de la loi informatique et libertés et du RGPD", explique Gérôme Billois, expert en cybersécurité chez Wavestone, joint par RTL.

Pour ce type d'infraction à la protection des données personnelles, la loi française et européenne prévoit des sanctions pouvant aller jusqu'à 4% du chiffre d'affaires de l'entité responsable et une peine d'emprisonnement potentielle de 5 ans assortie de 300.000 euros d'amende. Des poursuites au pénal peuvent aussi être engagées par les victimes si la responsabilité des gestionnaires des données est établie dans de futurs préjudices subis découlant de la fuite de leurs informations de santé.

Quelle utilisation peut être faite des données ?

Outre les mots de passe, qui peuvent permettre d'accéder facilement à d'autres comptes en ligne si les victimes utilisent un même login pour plusieurs services, la fuite comporte de nombreuses informations personnelles utilisées par les professionnels de santé. Une mine d’or pour les cybercriminels qui vont pouvoir les croiser avec d'autres bases de données pour renforcer la crédibilité de leurs futures opérations.

"Le point critique dans cette affaire est qu'il s'agit de données authentiques que l'on ne peut pas modifier comme on change un mot de passe après un piratage. Il va falloir sensibiliser les personnes au fait que ces informations circulent et peuvent nourrir des opérations de phishing sophistiquées et des usurpations d'identité", explique Nicolas Arpagian, expert en cybersécurité et enseignant à l'École de Guerre Économique, joint par RTL.

Ces informations peuvent facilement être utilisées pour mener des campagnes de phishing ciblées par mail ou SMS. Les pirates vont pouvoir se faire passer pour un établissement de santé, un laboratoire ou un médecin en employant un leurre très crédible basé sur l'historique médicale du patient pour inciter la victime à ouvrir un lien ou une pièce-jointe piégés. 

Les coordonnées et le numéro de sécurité sociale peuvent aussi être mis à contribution pour réaliser des usurpations d'identité sur Internet. Des escrocs pourraient demander un extrait de casier judiciaire pour monter des dossiers de crédit, s'inscrire sur des services et mener des activités parallèles au nom des victimes. Les données divulguées sont aussi suffisantes pour obtenir une carte vitale ou des ordonnances en pharmacie.

Cet incident d'une ampleur inédite est donc une invitation supplémentaire à redoubler de vigilance face aux messages que vous recevez sur votre téléphone et votre ordinateur. En cas de doute, vous pouvez vérifier qu'aucun compte n'a été ouvert à votre nom sous votre identité en consultant le fichier des comptes bancaires FICOBA (via une saisie de la Cnil) ou en contactant la Banque de France.

La rédaction vous recommande
Lire la suite
Vie privée Fil Futur Cybersécurité
Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires. Cette inscription sera valable sur le site RTL.fr.

Connectez-vous Inscrivez-vous

500 caractères restants

fermer
Signaler un abus
Signaler le commentaire suivant comme abusif
500 caractères restants