1. Accueil
  2. Actu
  3. Tech
  4. Vol massif de données de santé : que faire si vous avez reçu le mail de l'APHP ?
6 min de lecture

Vol massif de données de santé : que faire si vous avez reçu le mail de l'APHP ?

Les Hôpitaux de Paris ont commencé à prévenir les victimes du vol de données subi à l'été 2020. Les informations d'identité et le numéro de sécurité sociale de plus d'un million de personnes ayant passé un test Covid à cette période sont dans la nature.

Une carte Vitale (illustration).
Une carte Vitale (illustration).
Crédit : FRED TANNEAU / AFP
Benjamin Hue
Benjamin Hue

C'est confirmé : si vous avez réalisé un test de dépistage du Covid-19 en Île-de-France à l'été 2020, votre numéro de sécurité sociale est probablement entre de mauvaises mains. L'APHP a commencé à prévenir ce vendredi 17 septembre en fin de journée les personnes concernées par le vol de données de santé dont l'existence a été révélée jeudi 15 septembre. Sollicité par RTL, l'APHP confirme l'authenticité de cette communication et précise que seules les personnes qui avaient renseigné un mail ont été prévenues aujourd'hui, à savoir 600.000 patients. Toutes les autres recevront un courrier par voie postale à partir de lundi.

Environ 1,4 million de personnes sont concernées par l'incident au total, presque exclusivement des patients ayant été prélevés en Île-de-France, indiquait l'APHP jeudi. Mais il semble que des personnes résidant en dehors de la région sont aussi impliquées, suggérant que le logiciel mis en cause aurait servi à centraliser les résultats à une échelle plus large. Les conséquences sont potentiellement très ennuyeuses puisque les données compromises comprennent le numéro de sécurité sociale en plus de l'identité et des coordonnées.

"Vous avez effectué un test de dépistage Covid-19 dont le compte-rendu a été validé mi-2020. Nous vous écrivons aujourd’hui afin de vous informer que le 12 septembre 2021, nous avons eu la confirmation d’une violation des données personnelles vous concernant. Sachez que nous en sommes vraiment désolés et nous vous prions de bien vouloir nous en excuse", peut-on lire dans le mail adressé aux victimes par les Hôpitaux de Paris.

Le courriel revient ensuite sur les circonstances de l'incident. Le vol de données est la conséquence d'une attaque informatique menée durant l'été contre le système informatique de l'APHP. L'attaque a visé un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP en complément du système officiel SI-DEP. Ce service lui a permis d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe. Des résultats d’examen de dépistage Covid-19 y étaient stockés à titre exceptionnel lorsque l'APHP a utilisé ce service ponctuellement en septembre 2020. 

À lire aussi

L'enquête menée par les enquêteurs spécialisés en cybercriminalité de la préfecture de police de Paris devra faire la lumière sur les raisons qui ont poussé l'APHP à utiliser ce service tiers et sur les conditions dans lesquelles cela a été fait, notamment le respect des règles de cybersécurité.

Les données sont définitivement dans la nature

Le vol de données concerne les données d’identité (nom, prénom, date de naissance, sexe), le numéro de sécurité sociale, les données de contact (adresse postale, téléphone et adresse électronique, lorsque renseignés lors du test), ainsi que les données relatives au test de dépistage effectué à cette occasion, et notamment son résultat. 

L'APHP indique que cette base de données a été accessible sur une plateforme de téléchargement hébergée en Nouvelle-Zélande. Cet accès a été coupé le 14 septembre 2021, deux jours après la découverte du vol. Un laps de temps largement suffisant pour que ce fichier circule aujourd'hui activement dans les cercles de pirates. Partez du principe que toutes les informations contenues dans la base sont définitivement dans la nature.

Dès lors, que faire si vous faites partie des victimes de cette violation ? La première chose à faire est de prendre la mesure de l'ampleur des données qui sont compromises et ce qu'elles impliquent pour vous.

Faites attention aux mails et aux courriers que vous recevez

Les données d'identité et les données de contact ne sont pas les informations les plus sensibles. Il est possible de les retrouver assez facilement sur la plupart des sites que vous utilisez et elles ont probablement déjà fait l'objet d'une fuite de données par le passé. 

Le fichier est un peu plus intéressant dans la mesure où il contient des données authentiques et relativement récentes. Les détenteurs du fichier savent que vous avez réalisé un dépistage du coronavirus à l'été 2020, dans quelle ville francilienne, dans quel laboratoire et quel a été le résultat. 

Ces informations peuvent être utilisées pour monter des arnaques très ciblées. Par exemple, en vous demandant de vous créer un compte sur un faux site du laboratoire d'analyse pour accéder à des informations complémentaires relatives à votre test. Les pirates n'auraient ensuite plus qu'à récupérer le mot de passe et le mail utilisés pour l'occasion et à les tester sur de nouvelles plateformes.

Les pirates pourront aussi se faire passer pour un laboratoire d'analyses, le médecin traitant ou un hôpital visité par le passé, prétexter un rendez-vous médical ou le suivi d'une consultation réelle pour inciter les victimes à fournir d'autres données personnelles ou des informations bancaires, à cliquer sur des liens malveillants ou ouvrir des pièces jointes piégées.

Cette affaire doit donc vous inciter à preuve de beaucoup de vigilance à l'avenir face aux sollicitations en tout genre. Si vous recevez un mail relatif à une actualité médicale, veillez à bien recouper les informations directement auprès de l'organisme concerné, soit par téléphone soit sur son site officiel. Ne renseignez jamais d'informations personnelles, de mot de passe ou de code numérique dans le corps d'un email ou en réponse à un SMS. Privilégiez les canaux officiels.

Protégez tous les comptes liés à votre numéro de sécurité sociale et soyez vigilants

Le gros problème de ce vol de données concerne le numéro de sécurité sociale. Ce numéro est attribué à vie et donne accès à une multitude de services en ligne via la plateforme FranceConnect, qui centralise plus de 700 démarches civiles comme les impôts, la caisse d'allocations familiales ou le site de l'Assurance maladie. Couplé à des données d'identité, il peut même être utilisé pour falsifier des documents ou monter des crédits. 

La première chose à faire est donc de bien sécuriser l'accès à votre compte de sécurité sociale. Connectez vous à votre espace en ligne Ameli et profitez-en pour vérifier qu'il n'y a pas d'activité anormale et changer votre mot de passe. Il est impératif de définir un mot de passe fort et unique que vous n'utilisez nulle part ailleurs. Pour ce faire, trouvez une combinaison mêlant des majuscules, des minuscules, des chiffres et des caractères spéciaux sans aucun rapport à votre identité. Si vous ne vous êtes jamais connecté à cet espace, c'est le moment de créer votre compte et de le sécuriser.

Réfléchissez aussi aux comptes qui peuvent être corrompus par une personne disposant de votre numéro de sécurité sociale et changez les mots de passe le cas échéant.

Plus largement, ce vol d'informations implique une vigilance de votre part sur le long terme. Surveillez les mouvements sur vos différents comptes, soyez attentif à la bonne réception des factures et du courrier en général. En cas de doute, vous pouvez vérifier qu'aucun compte n'a été ouvert à votre nom sous votre identité en consultant le fichier des comptes bancaires FICOBA (via une saisie de la Cnil) ou en contactant directement la Banque de France.

Des actions en justice sont possibles

Si vous estimez être victime d'une usurpation d'identité à la suite de ce vol de données, il est possible d'obtenir conseil sur la plateforme officielle d'assistance aux victimes CyberMalveillance et de déposer plainte auprès d'un commissariat ou d'une gendarmerie.

Lorsque les autorités auront fait la lumière sur la chaîne de responsabilité à l'origine de la fuite, les victimes pourront engager des poursuites pour demander une indemnisation au responsable de traitement des données à condition de pouvoir démontrer une faute de sa part. 

Une action groupée pourra aussi être engagée par l'intermédiaire d'une association ou en saisissant un avocat représentant plusieurs victimes. La Cnil a fait savoir qu'il n'était pas nécessaire de la saisir individuellement car elle a elle-même déjà déposé une plainte dans le cadre de cette affaire. Nous développerons plus particulièrement les possibles recours dont disposent les victimes de cette affaire dans de prochaines publications.

La rédaction vous recommande

Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires.
Cette inscription sera valable sur le site RTL.fr.

Signaler un commentaire

En Direct
/