Fuite inédite de données médicales : ce que l'on sait

25/02/2021 Par Jules Bonnard
Faits divers / Justice
Les coordonnées et données médicales sensibles de près de 500.000 personnes ont été dévoilées en ligne par des cybercriminels. Alors qu’une enquête judiciaire vient d’être ouverte par le Parquet de Paris et que le ministère de la Santé était informé dès novembre, que sait-on sur la très importante fuite de données survenue en France? Le point.  
   

Quelle est l'ampleur de la fuite?

Le blog spécialisé sur la cybersécurité Zataz a repéré et dévoilé le 14 février l'existence d'un fichier comportant les données personnelles et privées de près de 500.000 patients français sur un groupe Telegram faisant office de "marché noir" dédié à la revente de bases de données volées. Mardi soir, à la suite d'une enquête du quotidien Libération, l'AFP a pu vérifier qu'un tel fichier circulait librement sur au moins un forum référencé par des moteurs de recherche. Selon l'auteur de l'article de Zataz, Damien Bancal, le fichier serait désormais disponible en sept emplacements différents sur internet. Il aurait été mis en ligne gratuitement (et donc privé de sa valeur marchande) par l'un des pirates à la suite d'une dispute. Il comporte précisément 491.840 noms, associés à des coordonnées (adresse postale, téléphone, email) et un numéro d'immatriculation à la sécurité sociale. 

Surtout, ces noms sont parfois accompagnés d'indications sur le groupe sanguin, le médecin ou la mutuelle, ou encore de commentaires sur l'état de santé (dont une éventuelle grossesse ou une stérilité), des traitements médicamenteux, des pathologies (notamment le VIH). Si l'ampleur de la fuite était vérifiée, l'affaire présenterait "une gravité particulière" au regard du nombre de victimes et de la sensibilité des informations médicales diffusées, a estimé Louis Dutheillet de Lamothe, secrétaire général de la Commission nationale Informatique et Libertés (Cnil). "On est très, très au-delà" de l'ampleur des violations de donnée signalées couramment à la Cnil, a-t-il indiqué.  

 

En connaît-on l'origine ? 

Selon la rubrique de vérification Checknews du quotidien Libération qui a enquêté sur le sujet, les données proviennent d'une trentaine de laboratoires de biologie médicale, situés pour l'essentiel dans le quart nord-ouest de la France (Morbihan, Eure, Loiret, Côtes-d'Armor, et dans une moindre mesure Loir-et-Cher). 

 Elles correspondent selon le journal à des prélèvements effectués entre 2015 et octobre 2020, une période qui coïncide pour les laboratoires interrogés avec l'utilisation d'un même logiciel de saisie de renseignements médico-administratifs, édité par le groupe Dedalus.  "Nous n'avons aucune certitude quant au fait que ce soit uniquement un logiciel Dedalus France qui est en cause dans cette affaire", a réagi auprès de l'AFP le directeur général délégué du groupe, Didier Neyrat. 

 L'Agence nationale de la sécurité des systèmes d'informations (Anssi) a indiqué de son côté à l'AFP avoir identifié l'"origine" de la fuite des données de santé, et l'avoir signalée au Ministère des Solidarités et de la Santé en novembre 2020, sans donner aucun détail supplémentaire. La direction générale de la santé (DGS) n'a pas répondu aux sollicitations de l'AFP. 

 
 

 Quels recours pour les victimes? 

Selon Damien Bancal, les pirates ne sont pas forcément intéressés par l'aspect médical de ce fichier. "C'est juste un fichier parmi d'autres qui va finir découpé en petites bases de données", explique-t-il à l'AFP. Les coordonnées seront ensuite utilisées par des groupes cybercriminels pour des campagnes de hameçonnage, l'envoi de rançongiciels ou de publicité ciblée. "Les personnes dont les noms sont présents dans la base subissent un préjudice", selon l'avocat spécialiste du numérique Bernard Lamon. Pourtant, les suites judiciaires pourraient rester limitées. 

"Les gens ont probablement la possibilité d'aller réclamer des dommages et intérêts, mais le système français est fait pour qu'il y ait des sanctions administratives. Il n'y aura pas a priori de réparation individuelle", explique Bernard Lamon à l'AFP. Une procédure de déréférencement est prévue en cas d'indexation du contenu de la base par un moteur de recherche. Concernant l'utilisation des informations médicales, par une compagnie d'assurance par exemple, "ce serait illégal et extrêmement risqué", estime l'avocat. Mais pour l'instant, l'essentiel des victimes ne sont pas au courant de leur présence dans le fichier.  

"S'il existe un risque élevé pour les droits et libertés des personnes physiques, les entreprises [responsables de la fuite] doivent [les en] notifier individuellement", affirme la Cnil, qui a lancé une enquête mercredi. 

   

La consultation longue à 60 euros pour les patients de plus de 80 ans et/ou handicapés est-elle une bonne mesure ?

A Rem

A Rem

Non

Une fois par an en sortie d’hospitalisation ou critère strict. Il n’y a ici aucune revalorisation réelle au vu des cotations exist... Lire plus

0 commentaire
8 débatteurs en ligne8 en ligne





La sélection de la rédaction

"En 10 secondes le diagnostic est fait" : l'échographie par les généralistes, une solution pour faciliter l...
21/02/2024
42
Portrait
"Je suis loin d’avoir lavé mon honneur mais j’ai rétabli l’histoire" : les confidences d’Agnès Buzyn, ministre...
22/12/2023
35
"Se poser dans une bulle, ça fait du bien" : en immersion dans cette unité cachée qui soigne les soignants...
05/01/2024
15
Santé publique
Ce qui se cache derrière la hausse inquiétante de l'infertilité
13/03/2024
17
"Ils ont une peur primaire de la psychiatrie" : pourquoi les étudiants en médecine délaissent cette spécialité
27/02/2024
28
"C'est assez intense" : reportage dans un centre de formation des assistants médicaux
01/03/2024
9