Les données médicales d’environ 500 000 français, tous patients de laboratoires d’analyses médicales, se seraient échangées gratuitement en ligne comme le révèlent les journalistes de Libération. Selon ces derniers, le fichier contenant des données sensibles aurait fait l’objet d’une chaîne Telegram turque, avant d’être exposé sur un forum de discussion russe, puis d’atterrir sur les réseaux sociaux américain. À présent, ce fichier de données aurait été mis en vente sur le marché noir. Cette fuite, en plus d’être importante, traduit une situation critique, car elle laisse des données hautement sensibles aux yeux de bien trop de personnes.
Des données collectées entre 2015 et 2020
Repérée en premier lieu par le site spécialisé Zataz, la fuite de données serait composée de données médicales enregistrées entre 2015 et 2020, même si une majorité de celles-ci datent de 2018 et 2019. Bien que pour l’heure, nous ignorons l’origine de la publication ces données, à savoir si elles ont été volées, piratées ou si elles sont le résultat d’une quelconque négligence, une chose est certaine, ces données considérées comme “sensibles” par le RGPD comportent des informations très personnelles sur la santé des patients concernés, telles que leur groupe sanguin, leur numéro de sécurité sociale et de potentiels commentaires sur leur état de santé.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Comme le relève Libération, ces données vont intéresser des personnes, pour différentes raisons. Si elles ont d’abord été exposées gratuitement, certains cybercriminels pourraient désormais payer pour y avoir accès, c’est d’ailleurs l’une des raisons pour lesquelles le nombre de cyberattaques a explosé ces dernières années. Et effectivement, la base de données en question serait en vente sur le blackmaket depuis le 4 février sur RaidForums.
Pourtant, bien que ces données sensibles soient appréciées des cybercriminels, de telles fuites ne devraient pas avoir lieu à en croire le règlement général sur la protection des données. En effet, même si elles font partie des données personnelles, ces données médicales sont distinguées comme étant “sensibles”. Elles doivent faire l’objet d’une protection particulière et renforcée de la part des responsables de traitement et de toutes les personnes ou structures y ayant un quelconque accès.
Les laboratoires touchés par la fuite de données utilisaient le même logiciel de saisie de données
Toujours selon Libération, les laboratoires d’origine des données ont tous un point commun : ils utilisent le même logiciel de saisie de données. Ce dernier est développé et installé dans les laboratoires par Dedalus France. L’entreprise se charge également de la maintenance de son logiciel au sein des structures. Si Dedalus France semble, pour l’heure, n’être qu’un point commun entre tous les laboratoires concernés, ce n’est pas la première fois que l’entreprise est mentionnée dans le cadre de failles de sécurité. En effet, Next INpact évoquait, en octobre dernier, le licenciement d’un salarié de l’entreprise après que ce dernier ait tenté d’avertir son employeur de failles de sécurité dans ses logiciels. L’entreprise avait nié toute faille, avant d’être à nouveau accusée en décembre dernier de subir une attaque par rançongiciel. Dedalus avait alors à nouveau contré ces accusations, précisant avoir bloqué l’attaque, sans qu’aucune donnée ne soit volée.
L’origine de la faille restant non identifiée pour l’heure, Cyberveille-santé conseille aux administrateurs d’établissements de santé de procéder à un renouvellement des mots de passe et de surveiller toute activité suspecte dans les journaux d’activités. Une attention particulière devrait également être portée aux sauvegardes faites par ces établissements.
Enfin, cette fuite importante ne fait que confirmer que les établissements de santé ont besoin de renforcer leur sécurité. Cela est d’ailleurs en accord avec les mesures annoncées par Emmanuel Macron, la semaine passée. Ce dernier a, en effet, annoncé un plan d’un milliard d’euros dédié à la cybersécurité. Pour rappel, ces annonces faisaient suite à l’attaque subie par l’hôpital de Villefranche-sur-Saône.
