Vol de données de santé : les informations médicales de 750.000 patients à vendre, la clinique parisienne Alleray-Labrouste piratée

La série noire continue. Après les piratages de SFR, Free, Picard, Boulanger ou Auchan, les données médicales de plus de 750.000 Français ont été mises en vente récemment, sur un forum de cybercriminels, par un groupe de pirates qui a revendiqué ces derniers jours le piratage de plusieurs structures françaises, dont Direct Assurance et le journal Le Point.

À l'origine, un internaute a publié mardi 19 novembre un message indiquant la mise en vente d'une base de données issue du piratage d'une plateforme médicale utilisée par plusieurs établissements de santé franciliens.

Le vendeur prétend avoir en sa possession des éléments relatifs à l'identité des patients (nom, prénom, date de naissance, sexe, portable, adresse, mail et numéro de téléphone) mais aussi des données plus sensibles, comme les numéros de carte Vitale et les informations liées aux mutuelles. Il affirme également détenir des notes médicales évoquant des prescriptions, des remboursements, des symptômes, des allergies, des pathologies et une liste de médecins traitants.

Le compte d'un professionnel de santé usurpé dans une clinique parisienne

L'individu indique avoir obtenu ces informations par l'intermédiaire de Mediboard, une application open-source utilisée par les établissements de santé pour gérer les dossiers patients informatisés. Sollicité par RTL, le groupe Softway Medical qui édite ce logiciel, assure que la cyberattaque n'a pas visé son réseau informatique, mais l'un de ses clients qui héberge la solution au sein de sa propre infrastructure. "Nous sommes en mesure d'affirmer que notre logiciel n'est pas en cause, mais qu'il s'agit d'une usurpation d'un compte à privilèges, au sein de l'infrastructure d'un client, par une personne qui a utilisé les fonctions standards de la solution", indique le groupe à RTL.

Selon nos informations, l'établissement ciblé par les pirates est la clinique Alleray-Labrouste située dans le XVe arrondissement de Paris. La direction confirme à RTL avoir été informée mardi par le prestataire en charge de son logiciel métier qu'il avait fait l'objet d'une fuite de données. La clinique affirme avoir mis en place une cellule de crise en interne et coupé l'accès au logiciel. Selon elle, "l'incident concerne uniquement les données du logiciel et non l'ensemble des données de la clinique". 

À ce stade, la direction n'est pas en mesure de quantifier le nombre de patients concernés. Les investigations se poursuivent pour connaître les répercussions de l'attaque en lien avec le CERT santé. Un dépôt de plainte a été réalisé auprès du Procureur et l'incident est en cours de notification à la CNIL et à l'ANS. Les patients dont les données auront été identifiées seront prévenus dans les prochains jours. Cet incident les expose à de futures attaques de hameçonnage ciblé et à des arnaques financières.

D'autres établissements franciliens potentiellement concernés

L'enquête devra également révéler si l'intrusion informatique subie par la clinique parisienne n'a pas eu des répercussions plus importantes. Dans un autre message publié le même jour sur le même forum, le compte de pirates qui agit sous le pseudonyme de "Near" prétend également disposer d'un accès illégal à cinq établissements de santé de la région qui pourrait compromettre les éléments contenus dans les dossiers de 1,5 million de patients.

Outre la clinique Alleray-Labrouste, les hackeurs disent avoir obtenu des accès aux fichiers de la clinique Jeanne d'Arc de Saint-Mandé (Val-de-Marne), de l'hôpital privé de Thiais (Val-de-Marne), du centre Luxembourg (Paris) et de la clinique Sainte-Isabelle à Neuilly (Hauts-de-Seine). Contactée par RTL, la clinique Jeanne d'Arc n'avait pas constaté d'incident informatique ces derniers jours. Les autres établissements ne sont pas encore revenus vers nous.

Mise à jour du 23 novembre : d'après l'AFP, l'hôpital privé de Thiais est également concerné par la fuite de données et a lui aussi porté plainte et prévenu la CNIL.

Ces cinq établissements ont la particularité d'appartenir à une même plateforme en ligne, nommée Aleo Santé, dédiée à la prise en charge de proximité dans les cliniques et les maisons de retraite. Sollicitée depuis mardi, la structure n'a pas répondu aux questions de RTL. Le ministère de la Santé a indiqué jeudi à l'AFP que "les mesures associés à ce type d'incident sont en cours de mise en œuvre par le groupe Aléo en lien avec les différentes autorités concernées", précisant que "cet événement n'a pas d'impact sur la continuité des prises en charge et la sécurité des soins".

Derrière ces vols de données, un collectif très actif ces derniers jours

Derrière ces revendications se trouve un collectif de pirates particulièrement actif ces derniers jours. Sur son compte Telegram, le groupe "Near" a fait savoir mardi qu'il était également à l'origine d'attaques informatiques ayant conduit au vol des données de 900.000 abonnés du journal Le Point, de 150.000 clients de SFR  et de 15.000 clients de Direct Assurance. Seul SFR n'a pas encore confirmé avoir été touché par cette vague de piratages.

Dans un message publié mardi sur la messagerie russe, le collectif affirme que sa démarche n'est pas lucrative - en atteste le prix dérisoire demandé pour les différentes bases de données mises en vente - mais vise à mettre en lumière les failles de sécurité dans les entreprises "qui choisissent de privatiser les bénéfices générés au détriment de la sécurité de leurs utilisateurs".

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info