Piratage des données médicales : comment savoir si l'on fait partie des 500.000 Français concernés ?

Mi-février, une base de données médicales a été divulguée sur plusieurs plateformes en ligne. Près de 500.000 assurés français sont impactés par cette diffusion d’informations confidentielles. D’après CheckNews, ce fichier provient d’une trentaine de laboratoires de biologie médicale. On fait le point.

Restez informée

Depuis plusieurs semaines, les données médicales de 500.000 patients français circulent sur le web. Des informations privées ont donc été divulguées telles que le nom, le prénom, l’adresse, le numéro de sécurité social et de portable des assurés ainsi que le nom du médecin traitant. Elles donnent également des précisions sur l’état de santé du malade comme une éventuelle grossesse, les traitements prescrits, une séropositivité ou un handicap.

Des informations confidentielles dérobées à des laboratoires

L’existence de ce fichier a été dévoilée par Damien Bancale, un journaliste spécialisé, sur son site Zataz le 14 février dernier. Cette base d’informations sensibles a été diffusée gratuitement sur Internet. Elle n’a donc pas été vendue par un hacker. “De ce que j’en sais, au moins quatre pirates ont cherché à les commercialiser. Mais ils se sont disputés publiquement sur plusieurs chaînes Telegram. Pour se venger, l’un d’eux a diffusé au moins un extrait”, a expliqué le spécialiste à nos confrères de Libération. Ces données médicales privées désormais en libre-accès ont donc perdu leur valeur financière.

Ce piratage de grande ampleur pourrait donc favoriser les risques d’usurpation d’identité, de fausses ordonnances et de messages frauduleux visant les problèmes de santé des destinataires. Selon une enquête de CheckNews (Libération), ces données médicales ne proviennent pas d’hôpitaux ou de cabinets de médecins généralistes, mais de laboratoires de biologie médicale. Une trentaine de structures ont été ciblées par le piratage. Elles sont situées dans le Morbihan, l’Eure, le Loiret, les Côtes d’Armor et le Loir-et-Cher.

Fuite des données : est-il possible de pirater d’autres informations personnelles ?

Le point commun de ces laboratoires d’analyses médicales ? Ils ont tous utilisé Dedalus, un logiciel de saisie de renseignements médico-administratifs. Les données qui ont été diffusées correspondent à des dates de prélèvements réalisés de 2014 à 2020.

Dans son enquête, CheckNews a également souligné que les mots de passe d’identification présents dans le fichier ont été choisis par les patients et n’ont pas été attribués par les laboratoires d’analyses médicales. Les assurés pouvaient se rendre sur des “espaces patients” afin d’obtenir leurs résultats d’analyses. Ces mots de passe peuvent donc être utilisés pour accéder à d’autres données comme les informations bancaires, les réseaux sociaux ou les mails professionnels.

Comment savoir si je fais partie du fichier ?

Dans un communiqué, la Commission nationale de l’information et des libertés (Cnil) a indiqué qu’elle “procède actuellement à des contrôles pour constater officiellement la mise à disposition du fichier“. Elle a également rappelé les obligations des organismes en cas “de violations des données d’une ampleur et d’une gravité importante“. Ces derniers doivent notamment notifier aux victimes la fuite de leurs données dans les 72 heures suivant le moment où ils en ont pris connaissance. Quand la fuite présente des risques importants pour les droits et les libertés, les entreprises doivent aussi informer les personnes concernées de la diffusion de leurs informations personnelles. Dans le cas de ce piratage, les laboratoires de biologie médicale n’ont cependant pas contacté leurs patients au moment de la divulgation du fichier.

Pour l’heure, il n’existe aucun moyen permettant d’accéder au fichier afin de vérifier si vous y figurez ou non. Les potentielles victimes du piratage doivent donc se montrer prudentes et faire attention aux messages et/ou mails frauduleux. “Le point critique dans cette affaire est qu’il s’agit de données authentiques que l’on ne peut pas modifier comme on change un mot de passe après un piratage. Il va falloir sensibiliser les personnes au fait que ces informations circulent et peuvent nourrir des opérations de phishing sophistiquées et des usurpations d’identité”, a précisé Nicolas Arpagian, expert en cybersécurité et enseignant à l’École de Guerre Économique à RTL.

Le mercredi 24 février, la section cybercriminalité du parquet de Paris a ouvert une enquête pour “accès et maintien frauduleux dans un système de traitement automatisé de données” et “extraction, détention et transmission frauduleuse”. Le Règlement général sur la protection des données européen prévoit des amendes allant de 2% à 4% du chiffre d’affaires et jusqu’à 20 millions d’euros pour ce type de délits. Les personnes responsables de l’infraction encourent également une peine d’emprisonnement potentielle de 5 ans et 300.000 euros d’amende.

Source: Lire L’Article Complet