Fuite de fichiers de santé : " Ces données peuvent permettre d’usurper l’identité des personnes "

, par  DMigneau , popularité : 0%

Fuite de fichiers de santé : " Ces données peuvent permettre d’usurper l’identité des personnes "

500 000 Français risquent d’être la cible de tentatives d’arnaques.
Mathieu Thomasset / Hans Lucas / Hans Lucas via AFP

Une enquête de " Libération " publiée le 23 février révèle que les informations médicales sensibles de près de 500 000 Français circulent " en ligne ". Une " fuite " inédite qui intervient alors que le secteur de la santé est particulièrement ciblé.

Le chercheur François Delerue décrypte ce phénomène.

Un fichier de 491 840 noms, leurs coordonnées précises et leur numéro d’immatriculation à la « Sécurité Sociale » circulant librement sur internet...

Une enquête a été ouverte pour préciser les circonstances de cette " fuite de données " massive révélée par " Libération " le 23 février. Ces données proviendraient d’une trentaine de laboratoires de biologie médicale utilisant le même logiciel d’une grande firme spécialisée en " cybersécurité ".

Ces noms sont parfois accompagnés d’indications sur le groupe sanguin, le médecin traitant ou la mutuelle, ou encore de commentaires sur l’état de santé (dont une éventuelle grossesse) ou des pathologies (en particulier le VIH).

Probablement destiné à être vendu, le fichier a été diffusé sur le web à la suite d’une dispute entre plusieurs " hackeurs ". François Delerue, chercheur en droit international et cyberdéfense à " l’Institut de Recherche stratégique de l’École militaire " (IRSEM) et enseignant à " Sciences Po ", revient sur cette " fuite ", dans un contexte où les données de santé sont particulièrement ciblées.

Marianne : Les données médicales de 500 000 personnes en libre accès sur Internet, est-ce inédit ?

François Delerue : Au niveau international, une fuite de données de santé d’une telle ampleur, c’est probablement du jamais vu.

Avec la crise du " Covid-19 ", les questions liées au monde de la santé sont plus centrales et ces données font l’objet d’attaques plus importantes.

Il y a deux menaces de cybersécurité qui pèsent sur le milieu de la santé.

La première sont ces données dérobées pour être vendues.

L’autre menace, c’est l’utilisation de " ransonware " (logiciels qui prennent en otage des données, NDLR) contre des hôpitaux.

Les deux cas sont assez similaires : des informations sensibles sur les patients sont stockées de manière numérique et on peut soit en bloquer l’accès et " monétiser " le retour à l’accès à ces données, soit les voler et les revendre.

Marianne : Ces données ont été diffusées gratuitement plutôt que d’être mises en vente. Est-ce surprenant ?

François Delerue : Non pas vraiment, ça peut arriver qu’il y ait des désaccords entre plusieurs acteurs dans ce type d’affaires. L’hypothèse est que plusieurs personnes aient été en possession de ces données et espéraient en tirer quelque chose, mais l’un d’entre eux, se considérant comme " floué ", les a fait " fuiter " pour faire perdre " tout le monde ".

Vous pouvez avoir exactement la même chose dans une activité criminelle " physique " : si un des malfaiteurs se sent " floué ", il peut prévenir la police.

Marianne : Concrètement, à quoi auraient pu servir ces 500 000 données dérobées si elles avaient été vendues ?

François Delerue : L’intérêt particulier des données de santé est que ce sont des données très personnelles, si précises qu’elles peuvent permettre d’usurper l’identité des personnes.

Si vous arrivez à identifier une personne avec son mail et numéro, les usages sont limités. Mais avec sa date de naissance, son lieu de naissance, son groupe sanguin, vous pouvez vous faire passer pour elle, demander un extrait d’acte de naissance, puis une carte d’identité.

L’autre intérêt de cette base, c’est qu’on y trouve des mots de passe. Et comme tous les mots de passe, il y a de fortes chances qu’ils aient été utilisés ailleurs.

Avec des infos personnelles comme des dates et lieux de naissance vous pouvez aussi deviner des mots de passe qui ne seraient pas inscrits sur la base.

Enfin, les acteurs à qui ces données ont été dérobées auraient pu être victimes de chantage : " si vous ne payez pas telle somme on révèle que vous vous êtes fait piller ".

Marianne : Le fait qu’il s’agisse spécifiquement des données de santé n’est donc pas si intéressant ?

François Delerue : Avec 500 000 patients, il y a peu de chance que l’objectif soit de les faire " chanter ". Mais dans d’autres cas, des individus en possession du fichier pourraient faire " chanter " des personnes qui y figurent : si je sais que vous avez une pathologie particulière, je peux menacer de le révéler.

Marianne : Comment ces données ont-elles pu être extraites ?

François Delerue : Deux hypothèses, soit les acteurs ont réellement " piraté " une base de données. Soit - et c’est peut-être plus probable - elles ont réussi grâce à du " phishing " à récupérer des identifiants et ainsi accéder de manière légitime à cette base avant de les en extraire.

Marianne : L’entreprise pouvait-elle ne pas savoir ?

François Delerue : Oui, c’est possible. Si quelqu’un a réussi à entrer grâce au " phishing ", c’est-à-dire en utilisant des données de connexion légitime pour accéder à la base de données, le système n’a pas de raison de dire : " il se passe quelque chose ".

L’opération consiste juste à dupliquer des données.

Après, certains systèmes gardent en mémoire un " horodatage " des connexions. Dans le domaine des successions, par exemple, il y a un logiciel commun à tous les notaires donc, on sait quand tel notaire s’est connecté pour modifier tel dossier.

Marianne : Les prestataires qui stockent ces données ont des obligations légales qui pourraient justifier des poursuites ?

François Delerue : Il faudra déjà déterminer quelle était réellement la base de données. Il est possible c’est que cette dernière soit un agrégat de différentes bases.

Si ce n’est pas le cas, on peut se poser la question de l’opportunité d’avoir un fichier avec 500 000 personnes et des fichiers avec des informations aussi graves que la sérologie des personnes.

L’enquête déterminera si cette base de données était conforme au droit français. Une des questions sera de comprendre si elles étaient centralisées ou s’il s’agit de l’agrégation des informations des laboratoires concernés …

La responsabilité de chaque acteur devra être déterminée.

Marianne : Quelles failles pourraient expliquer cette fuite, dans le cas d’un piratage ?

François Delerue : Le problème de la mise à jour des logiciels est récurrent et pas seulement dans le domaine de la santé. À partir du moment où une vulnérabilité est révélée, elle est rapidement corrigée par des « mises à jour » du système d’exploitation.

Mais des entreprises qui utilisent des logiciels spécifiques vont avoir du retard sur ces « mises à jour », car elles entrainent la « mise à jour » de leurs logiciels, ce qui peut prendre du temps.

Marianne : Où en est la France sur la protection des données ?

François Delerue : La France est historiquement un pays qui a promu la protection des données. On a aujourd’hui un système unifié en Europe avec un certain nombre de " garde fous " comme le RGPD mais vous avez ensuite dans chaque État des règlementations spécifiques et la France a une protection de ces informations parmi les plus strictes.

Marianne : Que faire si on fait partie de la liste ?

François Delerue : Déjà, il faut en être rapidement prévenu.

Ensuite, les personnes concernées devront prêter une attention particulière au fait qu’elles puissent être ciblées par du " phishing " ou des tentatives d’intimidations et d’attaques.

Ces personnes ne devront pas hésiter à saisir les autorités compétentes en cas de chantage ou de soupçon d’attaque par " phishing ". Il faudra aussi qu’elles changent leurs mots de passe.

Théo MOY

Marianne.fr