Une attaque au ransomware (rançongiciel en français) a frappé la base de données de la société finlandaise Vastaamo, qui gère 25 centres de psychothérapie, entraînant la fuite de données médicales de plus de 4 000 de ses patients. C’est la média Yle qui a été le premier à rapporter l’affaire.

Les auteurs du ransomware ont laissé fuiter une partie des données volées

La société basée à Helsinki, par l’intermédiaire de Tuomas Kahri, président du conseil d’administration, a déclaré qu’une enquête judiciaire était en cours. L’affaire du ransomware fait la une des journaux en Finlande, après que les hackers aient publié sur le dark web 2 000 des données médicales des patients.

Comme dans tous les cas de ransomware classiques, les hackers demandent, en l’échange de la récupération des données, une rançon. A la différence des ransomwares classiques dans lesquels les entreprises touchées sont celles qui doivent payer, les hackers se sont ici tournés vers les familles des patients pour exiger leur butin financier.

Le vol des données de Vastaamo n’est pas nouveau, puisqu’il remonte à novembre 2018. L’affaire s’est accélérée vers la fin du mois de septembre 2020 lorsque les hackers ont menacé de rendre publique toutes les données dérobées. Pour ne pas entraver l’enquête en cours, les autorités finlandaises avaient demandé aux hackers de ne pas passer à l’action. D’après les sources proches de l’enquête, une première demande de rançon à hauteur de 450 000 euros avait été faite à Vastaamo. Ce n’est que suite au refus que les hackers ont changé leur fusil d’épaule. Ils se tournent maintenant vers les patients, exigeant jusqu’en 500 euros à payer en bitcoin. Faute de quoi, leurs données médicales seront divulguées sur Internet donc librement accessibles.

Et le temps presse, puisque les hackers ont mis leur menace à exécution, outrepassant les demandes des autorités en publiant sur Tor les données médicales de 2 000 patients, dont des mineurs. Ces données incluent le nom du patient, son numéro de téléphone, son adresse email et postale, ainsi que le contenu des séances de thérapie.

Une façon de procéder qui a secoué la Finlande, pas habituée à ce type de pratique. Ce que confirme d’ailleurs sur Twitter le Chief Research Officer de l’entreprise finlandaise spécialisée en cybersécurité, F-Secure, Mikko Hypponen : « Une affaire de ransomware très inhabituelle est en cours ici en Finlande : une clinique privée de psychothérapie a été piratée, et les notes thérapeutiques concernant peut-être même 40 000 patients ont été volées. L’agresseur a maintenant envoyé un e-mail aux victimes, leur demandant chacune une rançon de 200 € en bitcoin. L’attaquant se fait appeler « ransom_man » et gère un site Tor sur lequel il a déjà divulgué les notes de séances de thérapie de 300 patients. C’est un cas très triste pour les victimes, dont certaines sont mineures. L’agresseur n’a aucune honte ».

Le scandale a également eu des répercussions sur la direction de la société Vastaamo. Une enquête interne a en effet exposé le PDG, qui aurait été au courant des failles du système de sécurité depuis plusieurs mois, mais se serait bien gardé de les partager. « En tant qu’entreprise qui fournit des services de psychothérapie, la confidentialité des informations clients est extrêmement importante pour nous et constitue le point de départ de toutes nos opérations. Nous regrettons profondément la fuite due au piratage », a déclaré Tuomas Kahri.

Lundi, un site gouvernemental a été ouvert pour venir en aide aux victimes du ransomware. Il leur est notamment demandé de ne pas payer la rançon ni d’échanger avec les hackers. Des milliers de plaintes ont déjà été exposées, dans ce pays qui ne compte qu’un peu plus de 5 millions d’habitants.

Les données médicales, or noir du marché noir

Les données médicales ont une valeur alléchante sur le marché noir. Dans un article paru sur Secure Thoughts, l’expert en cybersécurité Jeremiah Fowler expliquait : « Les données médicales sont les plus précieuses et elles sont achetées et vendues quotidiennement sur le Dark Web. La société Trustwave a publié un rapport qui évalue les dossiers médicaux à 250 dollars chacun sur le marché noir, alors que les cartes de crédit se vendent à 5,40 dollars par unité. Il est facile de comprendre pourquoi les cybercriminels voudraient cibler les données les plus précieuses avant toutes les autres. »

Le vol de données médicales soulève une épineuse question éthique. Qui plus est en temps de pandémie, quand nombre de systèmes de santé à travers le monde se sont retrouvés au bord de la rupture. Une situation de crise qui avait même entraîné certains hackers à accorder un répit aux hôpitaux, promettant une trêve. C’était au mois de mars. Une promesse malheureusement pas suivie d’effet puisque 6 mois plus tard, un ransomware ayant pris pour cible un hôpital allemand a causé la mort d’une femme. Répertorié comme le premier décès lié à un ransomware, la nouvelle avait alerté la sphère publique. La victime s’est vue condamnée à rouler 30km de plus suite à un refus de prise en charge par l’hôpital affecté par le ransomware.

Ce type de cyberattaque n’a pas épargné la France puisqu’en novembre 2019, c’est le CHU de Rouen qui était paralysé par un ransomware.