Bonjour à toutes et à tous, pas très présent en ce moment sur le blog, mais d'un autre côté je n'ai pas vu de nouvelles fortement intéressantes récemment, aussi on revient sur ce hack de données de santé.
Amitiés,
f. 500.000 Français risquent d'être la cible de tentatives d'arnaques.
Mathieu Thomasset / Hans Lucas / Hans Lucas via AFP
Par Théo Moy Une enquête de "Libération" publiée le 23 février révèle que les informations médicales sensibles de près de 500.000 Français circulent en ligne. Une fuite inédite qui intervient alors que le secteur de la santé est particulièrement ciblé. Le chercheur François Delerue décrypte ce phénomène.
Un fichier de 491.840 noms, leurs coordonnées précises et leur numéro d'immatriculation à la sécurité sociale circulant librement sur internet... Une enquête a été ouverte pour préciser les circonstances de cette fuite de données massive révélée par Libération le 23 février. Ces données proviendraient d’une trentaine de laboratoires de biologie médicale utilisant le même logiciel d’une grande firme spécialisée en cybersécurité.
Ces noms sont parfois accompagnés d'indications sur le groupe sanguin, le médecin traitant ou la mutuelle, ou encore de commentaires sur l'état de santé (dont une éventuelle grossesse), ou des pathologies (en particulier le VIH). Probablement destiné à être vendu, le fichier a été diffusé sur le web à la suite d'une dispute entre plusieurs hackeurs. François Delerue, chercheur en droit international et cyberdéfense à l’Institut de Recherche stratégique de l’École militaire (IRSEM) et enseignant à Sciences Po, revient sur cette fuite, dans un contexte où les données de santé sont particulièrement ciblées.
Marianne : Les données médicales de 500.000 personnes en libre accès sur Internet, est-ce inédit ?
François Delerue : Au niveau international, une fuite de données de santé d’une telle ampleur, c’est probablement du jamais vu. Avec la crise du Covid-19 les questions liées au monde de la santé sont plus centrales et ces données font l’objet d’attaques plus importantes. Il y a deux menaces de cybersécurité qui pèsent sur le milieu de la santé. La première sont ces données dérobées pour être vendues. L’autre menace, c’est l’utilisation de « ransonware » (logiciels qui prennent en otage des données, NDLR) contre des hôpitaux. Les deux cas sont assez similaires : des informations sensibles sur les patients sont stockées de manière numérique, et on peut soit en bloquer l’accès et monétiser le retour à l’accès à ces données, soit les voler et les revendre.
Ces données ont été diffusées gratuitement plutôt que d’être mises en vente. Est-ce surprenant ?
Non pas vraiment, ça peut arriver qu’il y ait des désaccords entre plusieurs acteurs dans ce type d’affaires. L’hypothèse est que plusieurs personnes aient été en possession de ces données et espéraient en tirer quelque chose, mais l'un d’entre eux, se considérant comme floué, les a fait fuiter pour faire perdre tout le monde. Vous pouvez avoir exactement la même chose dans une activité criminelle « physique » : si un des malfaiteurs se sent floué, il peut prévenir la police.
Concrètement, à quoi auraient pu servir ces 500.000 données dérobées si elles avaient été vendues ?
L’intérêt particulier des données de santé est que ce sont des données très personnelles, si précises qu’elles peuvent permettre d’usurper l’identité des personnes. Si vous arrivez à identifier une personne avec son mail et numéro, les usages sont limités. Mais avec sa date de naissance, son lieu de naissance, son groupe sanguin, vous pouvez vous faire passer pour elle, demander un extrait d’acte de naissance, puis une carte d’identité. L’autre intérêt de cette base c’est qu’on y trouve des mots de passe. Et comme tous les mots de passe, il y a de fortes chances qu’ils aient été utilisés ailleurs. Avec des infos personnelles comme des dates et lieux de naissance, vous pouvez aussi deviner des mots de passe qui ne seraient pas inscrits sur la base. Enfin, les acteurs à qui ces données ont été dérobées auraient pu être victimes de chantage, « si vous ne payez pas telle somme on révèle que vous vous êtes fait piller ».
Le fait qu'il s'agisse spécifiquement des données de santé n’est donc pas si intéressant ?
Avec 500.000 patients, il y a peu de chance que l’objectif soit de les faire chanter. Mais dans d’autres cas des individus en possession du fichier pourraient faire chanter des personnes qui y figurent : si je sais que vous avez une pathologie particulière, je peux menacer de le révéler.
Comment ces données ont-elles pu être extraites ?
Deux hypothèses, soit les acteurs ont réellement piraté une base de données. Soit - et c’est peut-être plus probable - elles ont réussi grâce à du phishing à récupérer des identifiants et ainsi accéder de manière légitime à cette base avant de les en extraire.
L’entreprise pouvait-elle ne pas savoir ?
Oui, c’est possible. Si quelqu’un a réussi à entrer grâce au phishing, c’est-à-dire en utilisant des données de connexion légitime pour accéder à la base de données, le système n’a pas de raison de dire : il se passe quelque chose. L’opération consiste juste à dupliquer des données. Après, certains systèmes gardent en mémoire un horodatage des connexions. Dans le domaine des successions par exemple, il y a un logiciel commun à tous les notaires donc on sait quand tel notaire s’est connecté pour modifier tel dossier.
Les prestataires qui stockent ces données ont des obligations légales qui pourraient justifier des poursuites ?
Il faudra déjà déterminer quelle était réellement la base de données. Il est possible c’est que cette dernière soit un agrégat de différentes bases. Si ce n’est pas le cas, on peut se poser la question de l’opportunité d’avoir un fichier avec 500.000 personnes, et des fichiers avec des informations aussi graves que la sérologie des personnes. L’enquête déterminera si cette base de données était conforme au droit français. Une des questions sera de comprendre si elles étaient centralisées ou s’il s’agit de l’agrégation des informations des laboratoires concernés … La responsabilité de chaque acteur devra être déterminée.
Quelles failles pourraient expliquer cette fuite, dans le cas d’un piratage ?
Le problème de la mise à jour des logiciels est récurrent, et pas seulement dans le domaine de la santé. À partir du moment où une vulnérabilité est révélée, elle est rapidement corrigée par des mises à jour du système d’exploitation. Mais des entreprises qui utilisent des logiciels spécifiques vont avoir du retard sur ces mises à jour, car elles entrainent la mise à jour de leurs logiciels, ce qui peut prendre du temps.
Où en est la France sur la protection des données ?
La France est historiquement un pays qui a promu la protection des données. On a aujourd’hui un système unifié en Europe avec un certain nombre de garde-fous comme le RGPD mais vous avez ensuite dans chaque État des règlementations spécifiques, et la France a une protection de ces informations parmi les plus strictes.
Que faire si on fait partie de la liste ?
Déjà, il faut en être rapidement prévenu. Ensuite, les personnes concernées devront prêter une attention particulière au fait qu’elles puissent être ciblées par du phishing ou des tentatives d’intimidations et d’attaques. Ces personnes ne devront pas hésiter à saisir les autorités compétentes en cas de chantage ou de soupçon d’attaque par phishing. Il faudra aussi qu’elles changent leurs mots de passe.
A LIRE AUSSI : Le kidnapping de données, ce mode de racket des hôpitaux français venu des États-Unis
Source : Marianne.net
Information complémentaire :
Crashdebug.fr : Vaccination contre le Covid-19 : une faille béante dans le secret médical (Mediapart.fr)
http://dlvr.it/RtcjwK
Aucun commentaire:
Enregistrer un commentaire