Cyberattaque : les données de santé de 750 000 patients auraient été mises en vente

C’est un étrange fichier qu’un utilisateur anonyme a proposé à la vente mardi 19 novembre. À l’intérieur se trouveraient les données de pas moins de 758 912 personnes, subtilisées dans cinq établissements de santé franciliens. D’après l’échantillon dévoilé par le pirate, le document comporterait des noms de patients, leurs prénoms, leurs adresses électroniques et postales, leurs dates de naissance ainsi que des informations médicales comme l'identité de leur médecin traitant ou leurs ordonnances, précise l’AFP.

Parmi les cinq établissements piratés, deux sont encore en activité aujourd’hui : la clinique Alleray-Labrouste, à Paris, et l'hôpital privé de Thiais (Val-de-Marne). Leurs directions ont chacune porté plainte et averti la Commission nationale de l'informatique et des libertés (Cnil). Les trois autres structures -à savoir le centre Luxembourg et la clinique Jeanne d'Arc, situées toutes les deux à Paris, et la clinique Sainte-Isabelle à Neuilly-sur-Seine (Hauts-de-Seine)- ont, quant à elles, cessé leur activité.

Usurpation d’un accès à une plateforme

La section de lutte contre la cybercriminalité du parquet de Paris a ouvert une enquête, qu’elle a confiée à l'Office anti-cybercriminalité (Ofac). Les cinq établissements faisaient tous parti du groupe Aleo santé et utilisaient une plateforme commune de gestion des dossiers médicaux des patients. D’après les premières investigations, les données ont été subtilisées par usurpation d’un accès à cette plateforme, c’est-à-dire par des vols d’identifiants ou de mots de passe.

Si selon le pirate, les données de 758 912 patients étaient en vente, les recherches se poursuivent pour connaître le nombre exact de personnes qui ont vu leurs données dérobées. Car pour l’heure, les seules informations disponibles sont celles fournies par l’utilisateur anonyme.

D’après une source proche du dossier entendue par l’AFP, Aleo Santé n’a pour l’heure identifié qu’une "quinzaine de personnes" qui seraient victimes de ces vols de données. La direction prend actuellement contact avec eux.

"Une activité malveillante croissante"

Ces incidents sont loin d’être anodins. "On constate une activité malveillante croissante de vols d'identifiants et de données sensibles", a fait savoir à l’AFP un représentant du CERT Santé, un service d’appui à la gestion des cybermenaces des établissements de santé, rattaché à l'Agence du numérique en santé. Depuis la semaine dernière, d’autres entreprises ont, en effet, été victimes de fuites de données. Direct Assurance a notamment indiqué que 15 000 de leurs assurés en ont été victimes. Parmi eux, 5 800 ont vu leur Iban (numéro international de compte bancaire) subtilisé.

Le représentant du CERT santé rappelle aux entreprises qu’elles doivent rester "vigilantes" et appelle à "renforcer la sécurité" des accès aux données.

[Avec AFP]