Piratage des données de santé de 500 000 patients : les vôtres sont-elles en ligne ?

La Commission nationale de l’informatique et des libertés (Cnil) tente de déterminer les manquements à l’origine de cette fuite massive d’informations, susceptibles de provenir d’une trentaine de laboratoires, pour la plupart dans le quart nord-ouest de l’Hexagone.

Ce contenu a bien été ajouté à vos favoris dans votre compte

Voir mes favoris

Pour ajouter ce contenu à vos favoris vous devez être connecté(e)

Me connecter

Pour ajouter ce contenu à vos favoris vous devez être abonné(e)

M'abonner
3mn de lecture
Hacker, pirate, ordinateurs
© South_agency

Les données de santé de 491 840 personnes, gérées par des laboratoires d’analyses médicales après des prélèvements menés entre octobre 2015 et 2020, se trouvent sur le dark web, l’Internet clandestin, après un acte de piratage.

Le fichier qui les regroupe se trouve à « sept endroits différents sur Internet », a indiqué à Libération Damien Bancal, journaliste spécialisé dans la sécurité informatique, qui a repéré les faits. Il faisait l’objet de discussions sur la messagerie Telegram. Selon Damien Bancal, « au moins quatre pirates ont cherché à commercialiser » les données, susceptibles de provenir « d’un fichier informatique perdu ou volé ». Le journaliste avance l’hypothèse d’une dispute entre les pirates : « Ils se sont disputés publiquement sur plusieurs chaînes Telegram. Pour se venger, l’un d’eux a diffusé au moins un extrait. » Aux yeux de Damien Bancal, « 500 000 données, c’est déjà énorme, et rien n’empêche rien de penser que les pirates en possèdent encore plus ».

Les personnes et les données en ligne concernées

Les données pourraient être issues d’une trentaine de laboratoires, se trouvant pour la plupart dans le quart nord-ouest de l’Hexagone, selon Libération.

Pour chacun des patients, sont mentionnés jusqu’à 60 informations différentes comme le numéro de Sécurité sociale, la date de naissance, le groupe sanguin, l’adresse postale, le numéro de téléphone ou le médecin prescripteur, selon Libération. L’état de santé est précisé à certaines lignes. Libération évoque les mentions « grossesse », « Levothyrox », ce médicament utilisé contre l’hypothyroïdie, « tumeur au cerveau », « séropositif  HIV » ou « patiente sourde ».

Les résultats des analyses et le dossier médical des patients « ne sont pas directement accessibles dans la base de données », d’après Libération. « En revanche, les mots de passe dont les patients se servent pour accéder à leurs analysées effectuées par les laboratoires sont rendus publics », précise le journal.

Des contrôles menés par la Cnil

La Commission nationale de l’informatique et des libertés (Cnil) a commencé mercredi 24 février à mener des contrôles pour déterminer les manquements à l’origine de la fuite, a indiqué cette autorité administrative indépendante à l’Agence France-Presse (AFP).

Les laboratoires n’ont pas transmis d’information sur cette fuite à la Cnil. L’article 33 du règlement général sur la protection des données (RGPD) impose une telle information. « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question » à la Cnil, « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance », prévoit ce texte. Une exception est cependant ouverte, dans l’hypothèse où « la violation » n’est « pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ». « Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard », ajoute le RGPD.

Le gouvernement est au courant de la fuite massive. L’Agence nationale de la sécurité des systèmes d’information (Anssi) a assuré à l’AFP avoir identifié l’« origine » de l’acte de piratage et l’avoir signalé en novembre 2020 au ministère des Solidarités et de la santé. « Les recommandations nécessaires ont été données par l’Anssi pour traiter l’incident », a-t-elle ajouté.

A lire aussi

Partager cet article :