IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une patiente atteinte d'un cancer poursuit un hôpital après qu'un gang de rançongiciels a divulgué ses photos de visites médicales nues
Dénonçant une fuite « évitable » et « gravement dommageable »

Le , par Stéphane le calme

0PARTAGES

10  0 
Une patiente atteinte d'un cancer dont les photos nues et les dossiers médicaux ont été publiés en ligne après avoir été volés par un gang de rançongiciels, a poursuivi son fournisseur de soins de santé pour avoir permis cette fuite « évitable » et « gravement dommageable ».

Le recours collectif proposé découle d'une intrusion en février au cours de laquelle l'équipe de logiciels malveillants BlackCat (également connu sous le nom d'ALPHV) a fait irruption dans l'un des réseaux de médecins du Lehigh Valley Health Network (LVHN), a volé des images de patients subissant un traitement de radio-oncologie ainsi que d'autres dossiers de soins de santé sensibles appartenant à plus de 75 000 personnes, puis a exigé le paiement d'une rançon pour déchiffrer les fichiers et l'empêcher de publier les données de santé en ligne. LVHN a refusé de payer la rançon, et plus tôt ce mois-ci, BlackCat a commencé à divulguer des informations sur les patients, y compris des images d'au moins deux patientes atteintes d'un cancer du sein, nues à partir de la taille.


Dans ce que l'on pense être une première, le gang de rançongiciels BlackCat a publié des images nues de patients qui ont été volés lors de l'une de ses attaques contre un organisme de santé dans le but de faire pression sur la victime pour contraindre l'organisme à payer la rançon. Lehigh Valley Health Network (LVHN) avait alors annoncé qu'il faisait face à une attaque de ransomware qui a été détectée le 6 février 2023. Le groupe de soins de santé de Pennsylvanie, l'un des plus importants de l'État américain, supervise 13 hôpitaux, 28 centres de santé et des dizaines d'autres cliniques médicales, pharmacies, centres de réadaptation, services d'imagerie et de laboratoire.

LVHN a confirmé que le groupe de ransomware BlackCat était derrière l'attaque et avait émis une demande de rançon, dont le paiement verrait les clés de déchiffrement fournies et empêcherait la divulgation des données volées lors de l'attaque. Brian A. Nester, président et chef de la direction de LVHN, a confirmé que LVHN avait refusé de payer la rançon et que les opérations n'avaient pas été affectées.

Nester a déclaré que l'attaque concernait le réseau soutenant un cabinet médical dans le comté de Lackawanna et que le système informatique impliqué stockait des images de patients cliniquement appropriées pour le traitement par radio-oncologie et d'autres informations sensibles sur les patients. « Des attaques comme celle-ci sont répréhensibles et nous consacrons les ressources appropriées pour répondre à cet incident », a déclaré Nester.

Dans une tentative de faire pression sur LVHN pour qu'il paie la rançon, BlackCat a commencé à divulguer certaines des données volées sur son site de fuite de données. Alors que les fuites de données sont désormais courantes lorsque les victimes d'attaques de rançongiciels refusent de payer la rançon, BlackCat est allé plus loin et a publié des images de patients volées lors de l'attaque. Des images de trois patientes atteintes d'un cancer du sein, nues à partir de la taille, ont été publiées sur le site de fuite de données, ainsi que des captures d'écran des données des patientes montrant les diagnostics. « Cet acte criminel inadmissible profite des patients recevant un traitement contre le cancer, et LVHN condamne ce comportement méprisable », a déclaré le porte-parole de LVHN, Brian Downs.

« Cet acte criminel inadmissible tire profit des patients recevant un traitement contre le cancer, et LVHN condamne ce comportement méprisable », a déclaré à l'époque le porte-parole de LVHN, Brian Downs.

La plainte

Selon la plainte déposée cette semaine, voici comment l'une des patientes, identifiée comme « Jane Doe » (Madame X en français), a découvert la violation de données (mais aussi que LVHN avait stocké des images nues d'elle sur son réseau en premier lieu).

Le 6 mars, la vice-présidente de la conformité de LVHN, Mary Ann LaRock, a appelé Doe et lui a dit que ses photos nues avaient été publiées sur le site de fuite des pirates. « Mme LaRock a présenté au plaignant des excuses et, avec un petit rire, deux ans de surveillance du crédit », indiquent les documents judiciaires.

En plus de récupérer les photos très sensibles, les escrocs ont également emporté tout le nécessaire pour une usurpation d'identité.

Selon la plainte, LaRock a également déclaré à Doe que ses adresses physique et électronique, ainsi que sa date de naissance, son numéro de sécurité sociale, son fournisseur d'assurance maladie, ses diagnostics médicaux et ses informations sur le traitement, ainsi que les résultats de laboratoire, avaient également probablement été volés lors de la violation.

« Étant donné que LVHN stocke et stockait les informations sensibles du demandeur et du recours, y compris des photographies nues du demandeur recevant un traitement sensible contre le cancer, LVHN savait ou aurait dû savoir du risque grave et des dommages pouvant résulter d'une violation de données », indique la plainte. Elle affirme que LVHN a fait preuve de négligence dans son devoir de protéger les informations sensibles des patients et demande le statut de recours collectif pour tous ceux dont les données ont été exposées avec des dommages-intérêts à déterminer.


L'avocat de Pennsylvanie Patrick Howard, qui représente Doe et le reste des plaignants dans le recours collectif proposé, a déclaré qu'il s'attend à ce que le nombre de patients touchés par la violation se situe dans les « centaines, voire des milliers ».

« L'hôpital invite les patients dans son établissement et prend possession de ces données », a déclaré Howard. « L'hôpital doit s'assurer que les données qu'il prend sont correctement sauvegardées, y compris ces photographies très sensibles. Vous attendez la sûreté et la sécurité, si vous agissez par négligence en assurant cette sûreté/sécurité, vous pouvez être tenu responsable quelle que soit la conduite d'une tierce partie ».

Selon les avocats, il s'agit de la deuxième violation de données affectant les patients du groupe de soins de santé de Pennsylvanie au cours des dernières années. En 2021, LVHN a admis que les informations personnelles des patients avaient été volées à l'un de ses fournisseurs.

Les organisations du secteur de la santé et de la santé publique activement ciblées

Le Département de la Santé et des Services sociaux des États-Unis a publié un avis de sécurité concernant le groupe de rançongiciels Blackcat qui cible activement les organisations du secteur de la santé et de la santé publique et a averti que le groupe se livrait à des tactiques agressives de triple extorsion. Alors que de nombreux groupes de rançongiciels utilisent une double extorsion impliquant le vol de données et des menaces pour divulguer des données volées en plus du chiffrement de fichiers, BlackCat utilise une troisième tactique : menacer de mener des attaques par déni de service distribué (DDoS) sur les victimes jusqu'à ce qu'elles paient.

BlackCat n'est pas le seul gang de rançongiciels à essayer de nouvelles tactiques pour faire payer les victimes. Le gang de rançongiciels Medusa a récemment attaqué le district des écoles publiques de Minneapolis (MPS), a volé des données sensibles, puis a chiffré les fichiers. Lorsque le paiement n'a pas été effectué, MPS a été ajouté au site de fuite de données du groupe et une menace a été émise pour publier l'ensemble des données volées lors de l'attaque. Le groupe a émis une demande de rançon de 1 million de dollars, le site de fuite de données offrant également les données volées à toute personne disposée à payer le même montant. Dans une nouvelle tournure, le groupe a également publié une vidéo montrant les données volées lors de l'attaque. La vidéo, d'une durée de 51 minutes, a été ajoutée comme preuve de l'étendue des données exfiltrées des systèmes de MPS.

Les gangs de rançongiciels ont dû adopter des tactiques plus agressives, car moins de victimes paient des demandes de rançon. Selon Coveware, au quatrième trimestre 2022, seulement 37 % des victimes ont payé une rançon suite à une attaque de ransomware, contre 76 % des victimes en 2019. Coveware affirme que plusieurs facteurs entraînent la réduction de la rentabilité des attaques de ransomware. Un investissement accru dans la planification de la sécurité et de la réponse aux incidents signifie que les organisations sont mieux préparées aux attaques et sont moins susceptibles de subir un impact matériel d'une attaque réussie. Le FBI et d'autres organismes chargés de l'application de la loi poursuivent toujours les auteurs de ces attaques, mais ils consacrent également davantage de ressources à aider les victimes à se rétablir. Coveware souligne également qu'à mesure que les revenus baissent, les coûts d'exploitation pour mener des attaques augmentent, ce qui signifie que moins d'acteurs de ransomwares peuvent vivre de la distribution de ransomwares et même les grands groupes de ransomwares en ressentent les effets, d'où la nécessité d'adopter de nouvelles tactiques pour faire pression sur les victimes et les contraindre à payer, améliorant ainsi la rentabilité des attaques.

Source : plainte

Et vous ?

En général, êtes-vous pour ou contre le paiement des rançons pour récupérer les fichiers et empêcher la divulgation des données sensibles ?
Qu'en est-il de ce cas particulier ?
Que pensez-vous de la plainte qui cible le fournisseur des soins de santé ?
À la lumière du fait qu' il s'agit de la deuxième violation de données affectant les patients du groupe de soins de santé de Pennsylvanie au cours des dernières années et du fait que la patiente n'avait même pas idée du fait que ses photos étaient conservées sur le réseau du groupe, que pensez-vous ?
La stratégie de la triple extorsion est-elle susceptible de porter plus des fruits selon vous ? Pourquoi ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 09/01/2024 à 11:17
Citation Envoyé par JP CASSOU Voir le message
Peine de mort obligatoire contre les auteurs de ransomwares. On ne discute plus.
On me dira qu'il est très difficile de les débusquer. OK, mais dès qu'on en chope un, il paiera pour les autres. Lui et sa famille (notion de 'responsabilité collective: S**T)
Ne serait-ce pas plus simple de ne pas connecter le réseau interne de l’hôpital à internet???

Pas de connexion internet, pas de ransomware, personne à débusquer, personne à condamner...
9  1 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 09/01/2024 à 16:52
Citation Envoyé par Anselme45 Voir le message
Ne serait-ce pas plus simple de ne pas connecter le réseau interne de l’hôpital à internet???

Pas de connexion internet, pas de ransomware, personne à débusquer, personne à condamner...
Plus possible. Plein de fournisseurs externes de matériel médical (depuis le dictaphone jusqu'à la machine IRM) fournissent du matériel qui ne marche qu'en ligne.
Le tout en ligne ça arrange la DSI : plus de serveur ni de logiciels à gérer, tu délègues tout au cloud souverain de microsoft...

En plus je vous dis pas la passoire que sont les dispositifs médicaux. Os plutôt jamais à jour plutôt que le contraire. Appareils qui tournent parfois en mode admin. Accès privilégié à travers le réseau avec authentification par IP (ou simple nom) sans chiffrage. Appareils là parfois depuis tellement longtemps que plus personne ne sait qu'ils existent. Fournisseurs extérieurs qui utilisent le même mot de passe admin de contrôle à distance sur toute la France (mot de passe style Pegase2021!, qu'on incrémente tous les ans au passage). Réemploi de mots de passe à gogo... Dans nos jeunes années, un pote et moi on a bien rigolé de tout ça, mais ça change pas vite...

Comme les hôpitaux ont pour mission 1ère d'économiser, autant dire que la sécurité informatique (ou même l'existence de sauvegardes), c'est tout désigné...

Pourtant, c'est pas comme si c'était la France qui avait inventé l'authentification et la sécurisation des communications par carte à puce... Quand on veut, on peut. Par ex, les cartes "vitales" patient et pro, c'est de la crypto asymétrique avec une autorité de certification, bien avant le https... J'ai entendu dire que ce genre de techno avait été proposé pour sécuriser les hôpitaux dans les temps préhistoriques, puis refus de financement et fin des boîtes qui s'étaient lancées.
7  2 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 10/01/2024 à 10:37
Citation Envoyé par Fagus Voir le message
Plus possible.
Rien n'est impossible!!!

D'autant plus dans un domaine tel que les équipements médicaux qui sont soumis à des normes et des standards très stricts.

Il suffit que certains fonctionnaires se mettent à travailler et modifient quelques paragraphes de leur oeuvres et en moins d'un an la totalité des équipements médicaux ne sont plus connectés à internet.

Mais encore faut-il être compétents dans les domaines dont on a la charge...
3  0 
Avatar de escartefigue
Modérateur https://www.developpez.com
Le 15/01/2024 à 11:36
Citation Envoyé par Anselme45 Voir le message
Les hôpitaux n'ont qu'à virer les administratifs qui ne servent à rien à part alourdir le fonctionnement des hôpitaux et il y aura suffisamment d'argent pour améliorer les conditions des soignants et avoir une informatique de pointe!!!
Si on les vire, il faudra que les malades ou leur famille fassent eux-mêmes certains travaux tels que gérer les dossiers médicaux, gérer le personnel, commander les fournitures, gérer la rotation des stocks de médicaments et autres denrées périssables... Rien d'important en effet

Citation Envoyé par Anselme45 Voir le message

La France aime tellement se comparer à l'Allemagne alors allons-y : 5,5 millions de fonctionnaires pour 67 millions d'habitants en France, 1,5 millions de fonctionnaires pour 83 millions d'habitants en Allemagne... Cherchez l'erreur !
Erreur trouvée : d'après différentes sources dont "Le Figaro" et "Contrepoints" qui ne passent pourtant pas pour des journaux de gauche, il y a 4,6 millions de fonctionnaires en Allemagne en 2022
voir ICI et
3  0 
Avatar de calvaire
Expert confirmé https://www.developpez.com
Le 10/01/2024 à 19:29
j'ai l'impression que chaque hopital gere sa popote chacun dans son coin, en france ou a l'étranger.
en france j'ai été surpris d'apprendre que chaque académie choissisiait aussi sont intranet (pronote par exemple)

es ce que chaque base militaire gere sa tambouille dans son coin ? non, alors pourquoi l'informatique des hopitaux et des écoles ne sont pas gérer au niveau national, j'ai pas forcément dit par l'état avec des fonctionnaire, ca peut etre un prestataire privé au service de l'état. En france on a OBS, Atos, par exemple qui peuvent s'en charger.

l'infra telecom d'orange est plus blindé que nos hopitaux, c'est quand même incroyable.
confié ca a ceux a qui c'est le domaine de compétence au lieu de payer au lance pierre 2 pauvres dev junior ayant suivie une formation online de 2 semaines (seul profil qui accepte le job vu le faible salaire proposé et se casse apres 2ans de vrai expérience pour trouver un vrai boulot).
une pote du cnrs a ca , c'est un jeunot qui connait pas grand chose à l'it qui s'occupe de l'infra de leurs labo, c'est le seul qui s'ont pu trouver avec le salaire proposé.
et le pauvre n'y connais pas grand chose mais en plus doit faire avec des budgets ricraq (ils ont encore des pc sous windows 7 connecté à internet, non maintenue évidement car pas de budget pour changer de pc pour acheter une licence, et non acheter une licence à 7€ sur amazon c'est pas possible dans la fonction publique, ca passe par un catalogue hors de prix ou une appelle d'offre, qui doit être contrôlé par 10 contrôleurs et 10 comptables minimum, tu paie une licence windows 10 500€, et ca mets 6mois pour arriver le temps que ta requête soit approuvé, et si par malheurs dans la compta il y'a une erreur de 10 centimes ont lance une enquête pour corruption)
2  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 10/01/2024 à 21:14
Citation Envoyé par Fagus Voir le message
parce que le fabriquant a décidé de garder son logiciel sur leurs serveurs...
Le fabriquant ne décide rien! C'est le client qui décide!!!

La France est le pays le plus centralisé du monde! Un seul mec à Paris peut décider de ce qui est acheté ou non dans l'hôpital le plus reculé dans le bled de Virlegeux-sur-Seine!!!

Tu dis aux fabricants "votre matos doit fonctionner en local, on ne veut pas de votre cloud, sinon vous ne vendez plus rien en France, pays de 67 millions d'habitants et le problème est réglé! Le fabricant adapte sa politique pour continuer à s'engraisser (les équipements médicaux sont l'un des domaines où les marges sont astronomique) et qui plus est en disant merci!
2  0 
Avatar de TotoParis
Membre expérimenté https://www.developpez.com
Le 19/03/2023 à 17:41
Visiblement, les données "sensibles", soit TOUTES, étaient en plus stockées en clair.
Tiens ça te ferait les pieds que ça t'arrive...
1  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 15/01/2024 à 10:25
Citation Envoyé par Anselme45 Voir le message
Le fait que la France soit un pays en faillite n'est pas une nouveauté! Un ex-premier ministre, Fillon pour ne pas le nommé, l'avait officiellement annoncé dans un discours.
C'est toujours plus simple pour expliquer qu'on ne fasse rien de projectif de dire que les caisses sont vide.


Les hôpitaux n'ont qu'à virer les administratifs qui ne servent à rien à part alourdir le fonctionnement des hôpitaux et il y aura suffisamment d'argent pour améliorer les conditions des soignants et avoir une informatique de pointe!!!
Supprimer les administratifs certainement pas, ça prendrait du temps aux non administratifs! Il faut réduire drastiquement la paperasse! Mais ceux qui veulent supprimer des fonctionnaires sont en général ceux qui mettent de la paperasse au cul des personnels pour en tirer des saints indicateurs qui créeront une baisse de productivité et légitimeront une saignée dans les personnels...


La France aime tellement se comparer à l'Allemagne alors allons-y: 5,5 millions de fonctionnaires pour 67 millions d'habitants en France, 1,5 millions de fonctionnaires pour 83 millions d'habitants en Allemagne... Cherchez l'erreur!


D'un point de vue rhétorique, on peut se comparer à ceux qui ont moins de fonctionnaire que la France et qui iraient mieux que la France et en déduire qu'il nous faut moins de fonctionnaire, c'est vrai, mais à quel pourcentage ? On ne peux nier que beaucoup de pays qui ont moins de fonctionnaire que nous vont moins bien que nous.
Par contre, dans l'autre sens, ça marche aussi : On peut se comparer aux pays qui ont plus de fonctionnaires que nous et iraient mieux que nous, et là le pourcentage est simple : 100% des pays qui ont plus de fonctionnaires que nous fonctionnent mieux que nous.




Et je ne parle pas de la Suisse, 300 000 fonctionnaires pour 10 millions d'habitants... Est-ce que la Suisse est un pays mal géré???
Je pense que pour la suisse et pour l'allemagne, le diable se cache dans les détails et les chiffres que tu donnes ne concernent que les fonctionnaires fédéraux, et qu'il y a plein d'emplois publics au niveau landers et cantons ;-)
1  0 
Avatar de Nb
Membre averti https://www.developpez.com
Le 10/01/2024 à 9:38
@fagus effectivement quand on veut on peut, mais peu d organismes realisent vraiment à quel point leur SI est vital et qu investir dans la sécurité devrait être une depense non discutable, sinon ils arreteraient le saas, le cloud et autres joyeusetés à la mode etc...
En revanche je doute tres fortement que les cartes vitales soient sorties avant le https
0  0 
Avatar de Prox_13
Membre éclairé https://www.developpez.com
Le 10/01/2024 à 11:13
Citation Envoyé par Anselme45 Voir le message
Rien n'est impossible!!!

D'autant plus dans un domaine tel que les équipements médicaux qui sont soumis à des normes et des standards très stricts.

Il suffit que certains fonctionnaires se mettent à travailler et modifient quelques paragraphes de leur œuvres et en moins d'un an la totalité des équipements médicaux ne sont plus connectés à internet.

Mais encore faut-il être compétents dans les domaines dont on a la charge...
Le souci étant que le budget des hôpitaux n'est pas indéfiniment extensible, et avoir des restrictions budgétaires alors que l'activité ne fait qu'augmenter, cela rend impossible d'avoir des projets de refonte du réseau interne sans faire des compromis.
1  1