Libération a révélé ce mardi 22 février qu’un fichier constitué de données dérobées à des laboratoires et contenant l’identité complète de près d’un demi-million de Français, souvent accompagnée de données critiques, comme des informations sur leur état de santé ou même leur mot de passe, a circulé sur des forums de pirates informatiques.
Le fichier comporte 491 840 lignes, soit presque autant de patients identifiés avec, à chaque ligne, jusqu’à 60 informations sur la personne concernée. Numéro de sécurité sociale, date de naissance, groupe sanguin, adresse, médecin prescripteur, mais aussi des commentaires précisant l'état de santé, des traitements médicamenteux ou des pathologies (des commentaires comme « grossesse », « tumeur au cerveau », « séropositif HIV », « patiente sourde » ou encore «Levothyrox» et bien d’autres).
La façon dont le fichier est construit indique que les données proviennent de laboratoires de prélèvement médicaux et pas de cabinets médicaux ou d’hôpitaux. Selon les informations de Libération, les données proviennent principalement de cabinets médicaux des départements du Morbihan, de l’Eure, du Loiret et des Côtes-d’Armor. Selon la rubrique de vérification Checknews du quotidien Libération, qui a enquêté sur le sujet, les données proviendraient d'une trentaine de laboratoires de biologie médicale. Toujours selon Libération, les laboratoires touchés avaient tous utilisé le même logiciel de saisie de renseignements, qui a été progressivement abandonné.
La fuite de données aurait pu se produire lors de la migration de l’ancien logiciel vers le nouveau.
« Nous n'avons aucune certitude quant au fait que ce soit uniquement un logiciel Dedalus France qui est en cause dans cette affaire », a réagi auprès de l'AFP le directeur général délégué Didier Neyrat. « Nous avons mis en place une cellule de crise, car nous prenons cela au sérieux et nous allons travailler en partenariat avec nos clients pour comprendre ce qu'il s'est passé », a-t-il ajouté.
« On peut retrouver ce fichier à 7 endroits différents sur internet », a indiqué de son côté à l'AFP Damien Bancal, journaliste spécialiste de la cybersécurité, qui a le premier identifié la fuite le 14 février sur son blog Zataz.
Selon lui, ce fichier était l'objet d'une négociation commerciale entre plusieurs pirates sur un groupe Telegram spécialisé dans l'échange de bases de données volées et l'un d'entre eux l'a diffusé sur le web suite à une dispute. « 500 000 données, c'est déjà énorme et rien n'empêche de penser que les pirates en possèdent encore beaucoup plus », a-t-il déclaré à l'AFP.
D’après Libération, les données proviendraient de laboratoires, et auraient été collectées entre 2015 et 2020. La majorité d’entre elles datent de 2018 et 2019. Le journal relève que les laboratoires ont en point commun l’utilisation d’un même logiciel de saisie des renseignements médico-administratifs, développé par Dedalus France. Il ajoute que c’est également cette entreprise qui installe et maintient le parc informatique pour le compte des établissements.
Dedalus France avait déjà fait l'objet d'un billet en 2020. Jeudi 2 avril 2020, en plein confinement imposé par l'épidémie de Covid-19, un jeune développeur web employé par le groupe d'informatique hospitalier Dedalus est mis à pied à titre conservatoire et convoqué à un entretien préalable à un « éventuel » licenciement pour faute grave. Dans ce courrier, il lui est alors reproché des faits datant du 25 mars 2020.
Contacté par TICsanté, l'ex-développeur web de Dedalus a expliqué qu'à cette date, il avait déjà identifié une faille de sécurité importante dans le logiciel destiné aux laboratoires de biologie médicale KaliLab, pouvant « permettre d'accéder comme administrateur aux infrastructures informatiques de plus de 150 laboratoires d'établissements de santé ».
La porte d'entrée de ces serveurs pouvait être déverrouillée grâce à une clé privée de Dedalus... à laquelle il n'aurait pas dû avoir accès.
« Nous rappelons qu'en interne, l'accès à cette clé est réservé aux développeurs de l'intranet Dedalus Biologie. Cette clé a été récupérée sur une adresse URL précise et sans recherche préalable », a expliqué l'éditeur dans sa missive, se référant « à des traces d'accès » au serveur web prélevées le 25 mars « dès 13h26, soit 1h30 après que vous l'avez vous-même récupérée en votre qualité de développeur », reprochait-il à son salarié.
L'ex-développeur web s’est défendu : il a signalé cette faille en janvier 2020 et alerté à plusieurs reprises ses dirigeants français et même le PDG italien du groupe dès le début du mois de mars, avant de prévenir le fonctionnaire chargé de la sécurité des systèmes d'information (FSSI) du ministère des Solidarités et de la Santé, Philippe Loudenot, de cette faille importante et pouvant affecter le fonctionnement des établissements de santé clients, alors pleinement engagés dans la lutte contre l'épidémie de Covid-19.
Prenant l'alerte au sérieux, Philippe Loudenot va alors contacter la direction du groupe informatique dès le 26 mars pour leur confier la liste des éléments récupérés et les renseigner sur les établissements concernés par la faille et jugés vulnérables.
« Le groupe Dedalus a fait le nécessaire pour sécuriser ces accès et proposé une nouvelle version du logiciel. Nous avons eu un retour concernant cette montée de versions par la Société française d'informatique de laboratoire (SFIL) le 2 avril 2020 », a expliqué le FSSI dans un deuxième document.
« Il n’y a pas de faille de sécurité et il n’y en a jamais eu », lançait alors Didier Neyrat, directeur général délégué de Dedalus France. Un mois et demi plus tard, en décembre 2020, TIC Santé à nouveau, exposait que Dedalus était victime d’une attaque rançongiciel. Mais encore une fois, Didier Neyrat rassurait : « A priori, il n’y a eu aucun vol de données et comme nous avons bloqué l’attaque, il n’y aura pas de paiement de rançon. »
Les attaques informatiques se multiplient actuellement contre les établissements de santé en France. Des pirates informatiques ont ainsi paralysé les hôpitaux de Dax et de Villefranche-sur-Saône les 8 et 15 février derniers.
Le 19 février, l'Agence du numérique en santé indiquait également sur son site qu'une liste de 50 000 identifiants de connexion d'agents de centres hospitaliers était en vente sur un forum cybercriminel. « Il y a eu 27 cyberattaques d'hôpitaux en 2020 et depuis le début de l'année 2021, c'est une attaque par semaine », relevait ainsi la semaine dernière le secrétaire d'État chargé du numérique, Cédric O. Cette recrudescence a amené le gouvernement à déployer de nouveaux budgets pour renforcer la sécurité de ces établissements.
Source : Libération
Les données médicales de près de 500 000 patients français dérobées à des laboratoires
Ont été diffusées sur des forums de pirates informatiques
Les données médicales de près de 500 000 patients français dérobées à des laboratoires
Ont été diffusées sur des forums de pirates informatiques
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !