L'AP-HP, qui accueille chaque année plus de 8 millions de patients en région Île-de-France et regroupe 39 hôpitaux, a signalé les faits à la Commission nationale de l'informatique et des libertés (Cnil) et à l'Agence nationale de sécurité des systèmes d'information (Anssi). L'AP-HP et le ministère de la Santé ont déposé deux plaintes distinctes. Une enquête a été ouverte.
Des hackers ont réussi à voler « Au cours de l’été… des fichiers contenant des données nominatives », d’après l’AP-HP. L’organisation utilise le terme d’« attaque informatique », afin de signifier que pour accéder aux données, les malfaiteurs auraient exploité des vulnérabilités logicielles. Ce détail est important pour évaluer d’éventuels manquements de l’AP-HP à ses obligations de sécurité, car de nombreuses fuites sont simplement liées à une mauvaise sécurisation des bases de données. L’AP-HP précise que les pirates ont ciblé un « service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP, qui lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe ». Interrogé sur le sujet, l’AP-HP n’a pas précisé qui avait développé l’outil. Mais en précisant qu’il est « hébergé sur ses propres infrastructures techniques », elle rappelle qu’elle contrôlait sa sécurité.
Ce logiciel était utilisé en complément du SI-DEP, le système d’information national de dépistage qui sert à centraliser et à certifier les tests, lui-même géré par l’AP-HP (mais épargné par l’attaque). Concrètement, il sert à transmettre les résultats produits par les laboratoires vers l’Assurance Maladie et les agences régionales de santé, pour le suivi du traçage des contacts. Courant août 2021, le SI-DEP a accusé une panne dans ses outils de transmission, ce qui empêchait les patients d’obtenir le QR Code qui faisait office de pass sanitaire. Le fichier avait déjà eu des problèmes en 2020 d’après l’AP-HP, et c’est à ce moment que le programme piraté aurait été utilisé.
Quelles informations sont concernées et quel est le risque pour les personnes concernées ?
L'incident a exposé les données personnelles d'environ 1,4 million de personnes. Il s'agit presque exclusivement de patients qui ont réalisé des tests mi-2020 en Île-de-France, soit entre la fin du printemps et la fin de l'été. Les informations compromises incluent :
- l’identité du patient testé ;
- son numéro de sécurité sociale ;
- ses coordonnées. L’AP HP ne donne pas le détail, mais le terme peut désigner l’adresse du domicile, l’adresse email et le numéro de téléphone de la victime, généralement demandés lors d’un test ;
- l’identité et les coordonnées du professionnel de santé qui a effectué le test ;
- le type de test effectué ;
- le résultat du test. Cette dernière information donne une tout autre ampleur à l’incident, puisqu’il s’agit d’une donnée de santé, considérée comme « donnée sensible » au regard du droit.
« Il y a de fortes chances que les données apparaissent sur le dark web pour être revendues. Les acheteurs ne s'intéressent pas au fait que la personne soit positive ou négative. Par contre, un numéro de sécurité sociale, c'est comme numéro de carte bancaire, c'est très confidentiel et ça peut coûter très cher », explique Matthieu Dierick, expert en sécurité des applications chez F5.
En possession d'un numéro de sécurité sociale, d'une identité et d'une date de naissance, des cybercriminels peuvent falsifier des documents pour générer de nouvelles cartes vitales ou contracter des crédits à la consommation. Mais les victimes courent surtout le risque de faire l'objet de tentatives de phishing très ciblées. « Les personnes figurant dans le fichier peuvent s'attendre à recevoir un mail disant que leur test effectué le 15 août dans un laboratoire de Marcoussis nécessite qu'elles se connectent et créent un compte pour récupérer des informations additionnelles », observe le spécialiste. Les pirates n'auront plus qu'à récupérer les mails et les mots de passe renseignés pour les réutiliser sur d'autres sites et revendre les combinaisons gagnantes. L'APHP a indiqué mercredi que les personnes concernées par le vol de données seront informées individuellement dans les prochains jours, comme la loi le prévoit lorsqu'une violation de données est susceptible d'engendrer un risque élevé pour les droits et les libertés, ce qui est le cas des données de santé, particulièrement sensibles et divulguées en nombre important ici.
Le domaine de la santé dans le viseur des pirates
Ce nouvel incident intervient deux semaines après la découverte par Mediapart que des centaines de milliers de résultats de tests antigéniques étaient restés accessibles durant plusieurs semaines sur le site d'un prestataire de pharmacies non homologué par les autorités sanitaires coupable d'une série de négligences. la Cnil indique qu'à ce jour, les corrections ont été apportées par la plateforme et que les données ne sont plus librement accessibles. La société responsable du site a informé les personnes concernées le 30 août. Mais les investigations se poursuivent pour vérifier si des tiers ont pu accéder aux données. En début d’année, un fichier de données de santé concernant un peu plus de 500 000 citoyens français avait déjà été diffusé librement sur Internet après une faille informatique d'un prestataire de laboratoires médicaux. Et des dizaines d'hôpitaux ont fait les frais d'attaques de logiciels malveillants qui ont parfois paralysé leur activité pendant plusieurs semaines.
Et maintenant ?
L’enquête pourrait révéler de nouveaux détails sur l’incident dans les semaines à venir, car « les investigations se poursuivent », précise l’AP-HP. l’Anssi et la Cnil sont les deux organisations compétentes sur le sujet. L’enquête a deux principaux objectifs : Comprendre le mode opératoire et la nature des vulnérabilités exploitées. Cela pourrait aider à mieux cerner quel type de hacker a pu commettre l’attaque. Découvrir le détail technique de la cyberattaque pourrait aussi aider d’autres organisations à se protéger contre des attaques similaires. Et remonter l’origine de l’attaque, même s’il est probable que l’auteur de l’attaque ne soit jamais identifié.
Source : AP-HP
Et vous ?
Que vous suggère cette exposition des données sanitaires des résidents français sur la toile ;?
Êtes-vous inquiets pour la confidentialité de données sanitaires ;?
Selon vous, quelles solutions le gouvernement français devrait-il mettre en place pour éviter ce genre d’incident ;?
Voir aussi :
France : le gouvernement met en place la surveillance des réseaux sociaux par le fisc,visant à collecter automatiquement certaines données, afin de repérer d'éventuels fraudeurs
Un milliard d'images médicales sont exposées en ligne, car de nombreux cabinets médicaux ne tiennent pas compte des meilleures pratiques en matière de sécurité
533 millions de numéros de téléphone et de données personnelles d'utilisateurs de Facebook ont été divulgués en ligne, 20 millions appartiennent à des utilisateurs en France
Des pirates informatiques ont divulgué en ligne des données volées sur le vaccin covid-19 de Pfizer, a annoncé l'Agence européenne des médicaments