Cyberattaque du CH de Corbeil-Essonnes : des données de santé divulguées par les pirates

26/09/2022 Par Marion Jort
Les pirates informatiques auteurs de l'attaque contre l'hôpital de Corbeil-Essonnes en août ont mis à exécution leurs menaces en divulguant les informations de santé volées, faisant planer un risque de chantage ou d'extorsion sur les personnes concernées. 

 

Mi-septembre, un collectif de hackers russophones revendiquait l'attaque informatique du CH de Corbeil-Essonnes par rançongiciel et le vol de données de l’hôpital. Ils demandaient 10 millions, puis 1 à 2 millions selon des sources proches de l’enquête, pour détruire leur base de données. Mais l’établissement a refusé de se plier aux exigences des hackers…  

Ce week-end, ces derniers ont donc mis leurs menaces à exécution en dévoilant des informations privées via le "dark web"*. Selon l’hôpital, ces données "semblent concerner nos usagers, notre personnel ainsi que nos partenaires". Parmi elles figurent "certaines données administratives", dont le numéro de Sécurité sociale, et "certaines données santé telles que des comptes-rendus d'examen et en particulier des dossiers externes d'anatomocytopathologie, de radiologie, laboratoires d'analyse, médecins", a poursuivi le centre hospitalier dans un communiqué diffusé ce dimanche 25 septembre.  

"L'attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l'espace de stockage du CH (environ 10%)", ajoute-t-il.  C'est le blog de cybersécurité Zataz.com, qui avait donné l'alerte, affirmant qu'une "première diffusion" de données avait été orchestrée "sous la forme d'un fichier compacté de 11,7 gigaoctets". Selon Damien Bancal, l'auteur du blog qui a pu consulter le fichier, celui-ci contient des documents aussi variés que des examens médicaux, des recours à la couverture médicale universelle (CMU), et une autorisation d'internement d'office en service psychiatrique. "Néanmoins, à ce stade de l'analyse des éléments en la possession des services enquêteurs, il n'est pas possible" d'accéder facilement aux données, a précisé à l'AFP le parquet de Paris. "Seuls les initiés peuvent accéder aux données", a confirmé le blogueur à l'AFP. 

Une enquête a été ouverte par le parquet de Paris et confiée aux gendarmes du Centre de lutte contre les criminalités numériques (C3N).  Le risque est désormais que des escrocs utilisent les données accessibles pour monter de nouvelles attaques ciblées, en utilisant les informations personnelles à leur disposition pour capter la confiance de la victime. Les attaquants vont par exemple rechercher "des patrons, des personnalités importantes", et monter des arnaques comme "les fraudes au président", où l'escroc arrive à obtenir un virement bancaire d'une institution en se faisant passer pour son dirigeant ou son directeur financier, a expliqué Damien Bancal. Les attaquants peuvent aussi utiliser les numéros de téléphone pour monter les arnaques aux comptes personnels de formation (CPF) ou aux cryptomonnaies, les adresses mail pour faire du "hameçonnage" (en anglais "phishing", inciter l'internaute à télécharger des fichiers malveillants ou à cliquer sur des liens pour lui extorquer des identifiants et code d'accès...). 

 

"Nous ne céderons pas face à ces criminels” 

Dans un tweet publié dimanche après-midi, le ministre de la Santé a "condamné avec la plus grande fermeté la divulgation inqualifiable de données piratées issues du centre hospitalier de Corbeil-Essonnes". "Nous ne céderons pas face à ces criminels. L'ensemble des services de l'État sont mobilisés" aux côtés de l'hôpital, a-t-il ajouté. 

Selon son entourage, l'hôpital "est pleinement mobilisé pour informer individuellement les patients ainsi que les membres de son personnel concerné". "L'établissement veille également à ce qu'ils fassent preuve de la plus grande vigilance face aux tentatives d'escroquerie qui pourraient intervenir dans les prochains mois", a-t-on ajouté de même source.  

Dans son communiqué de presse, l'hôpital de Corbeil-Essonnes a rappelé les principales mesures de sécurité à suivre. En cas de réception d'un email, SMS ou appel téléphonique demandant telle ou telle action, il faut "vérifier que l'expéditeur est bien légitime et en lien avec le sujet" et "ne jamais fournir d'informations confidentielles (bancaires, mots de passe...)". Il faut "être vigilant si le ton du message est pressant, qu'il vous pousse à l'action, d'autant plus si vous n'attendiez pas ce message", a également indiqué l'hôpital. Celui-ci recommande aussi de "vérifier les comptes associés" à un numéro de Sécurité sociale et d'en changer les mots de passe "au moindre doute".  

*sites internet non référencés par les navigateurs classiques.

[avec AFP]  

Les complémentaires santé doivent-elles arrêter de rembourser l'ostéopathie ?

Stéphanie Beaujouan

Stéphanie Beaujouan

Non

Je vois beaucoup d'agressivité et de contre vérités dans les réponses pour une pratique qui existe depuis 1,5 siècle . La formatio... Lire plus

15 débatteurs en ligne15 en ligne





 
Vignette
Vignette

La sélection de la rédaction

Enquête Hôpital
Pourquoi le statut de PU-PH ne fait plus rêver les médecins
14/11/2024
9
La Revue du Praticien
Diabétologie
HbA1c : attention aux pièges !
06/12/2024
0
Concours pluripro
CPTS
Les CPTS, un "échec" à 1,5 milliard d'euros, calcule un syndicat de médecins dans un rapport à charge
27/11/2024
12
Podcast Histoire
"Elle aurait fait marcher un régiment" : écoutez l’histoire de Nicole Girard-Mangin, seule médecin française...
11/11/2024
0
Histoire
Un médecin dans les entrailles de Paris : l'étude inédite de Philippe Charlier dans les Catacombes
12/07/2024
1
Portrait
"On a parfois l’impression d’être moins écoutés que les étudiants en médecine" : les confidences du Doyen des...
23/10/2024
6