Article
Un fichier qui vaut de l’or. Cela fait quelques jours que l’information circule sur des sites de pirates informatiques et des forums. Près de 500 000 lignes d’informations hautement personnelles en libre accès sur internet.
L’alerte a été repérée par Libération. Le 14 février dernier, le blogueur cybersécurité, Damien Bancal fondateur du site ZATAZ publiait : « Allô la CNIL ? Le RGPD ? ZATAZ vient de découvrir la vente d’une base de données qui, pardon du terme, fait clairement froid dans le dos. Un pirate commercialise une base de données de ce qui semble appartenir à une assurance ou un laboratoire de santé ».
Exactement 491.939 fichiers contenant plus de 70 informations privées et sensibles ont été identifiés par Damien Bancal. « Cette fuite affiche l’identité, le téléphone, l’adresse postale, le numéro de sécurité social, le/les médecin(s) du patient, date de naissance, date d’hospitalisation, CPAM, l’assurance/mutuelle du patient, CMU, adresse mail… », précise ZATAZ.
Libération a appelé quelques médecins concernés par les données volées et ont eu la confirmation que celles-ci sont véridiques. Les mots de passe utilisés par les patients pour accéder à leurs résultats ont également été publiés. Libération souligne que ces mots de passe semblent choisis par les patients eux-mêmes et donc être également utilisés pour accéder à d’autres services.
D’où viennent les données piratées ? Les hackers se seraient introduits dans les bases des fichiers d’une trentaine de laboratoires de biologie médicale. Ces derniers sont situés « dans les départements du Morbihan, de l'Eure, du Loiret, des Côtes-d'Armor et dans une moindre mesure du Loir-et-Cher ». Les dates des prélèvements « s'étalent de 2015 à octobre 2020 » selon les informations de Libération.
Maintenant que ces données ont fuité gratuitement sur des sites traditionnels (forums notamment), elles n’ont plus de valeur marchande. En revanche, les personnes listées sont des cibles potentielles pour des tentatives de piratage.
Un enquête a été ouverte mercredi 24 février par la section cybercriminalité du parquet de Paris. L'enquête a été confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). Le chef d'accusation : « accès et maintien frauduleux dans un système de traitement automatisé de données » et « extraction, détention et transmission frauduleuse » de ces données comme le rapporte l'AFP.
Pour rappel, en cas de piratage, un établissement de santé dispose d'un délai de 72h pour informer la CNIL. L'Institution a cependant indiqué le 22 février ne pas avoir été informée par les laboratoires concernés. Par ailleurs, si la fuite comporte un risque pour les droits et libertés des personnes concernées, elles doivent en être informées. Invité sur le plateau des 4 Vérités sur France 2, le secrétaire d'Etat chargé de la transition numérique, Cédric O, a quant à lui déclaré qu'il était " vraisemblable " qu'elles ne l'aient pas été, avant de préciser : « dans les données de santé les responsables de traitement peuvent être les laboratoires, les hôpitaux, les entreprises privées. Elles ont une responsabilité de mettre en place des procédures qui évitent ce genre de problème. S’il y a négligence caractérisée, il peut y avoir des sanctions extrêmement fortes de la part de la Cnil. »