1,4 million de tests covid ont fuité : 4 questions pour comprendre l'affaire
Encore une fuite de données de santé.
Les intrus se sont procuré les données de 1,4 million de personnes qui ont réalisé des tests covid. Le problème semble désormais sous contrôle, mais l'AP-HP n'a pas encore terminé son enquête.
Cet incident est la deuxième fuite liée aux tests covid en l'espace de deux semaines. Le 31 août, Mediapart avait été prévenu d'un défaut de sécurité sur le site de Francetest, un intermédiaire entre les pharmacies et la plateforme du gouvernement, qui exposait les données personnelles de 700 000 personnes testées.
Pour mieux comprendre l'incident de l'AP-HP et ses conséquences, voici ce que l'on sait (et ne sait pas).
Que s'est-il passé ?
« Au cours de l'été », des hackers (nous utiliserons le pluriel, mais ce pourrait aussi être une personne seule) ont réussi à voler « des fichiers contenant des données nominatives », d'après l'AP-HP. L'organisation utilise le terme d'« attaque informatique », signe que pour accéder aux données, les malfaiteurs auraient exploité des vulnérabilités logicielles. C'est un détail important pour évaluer d’éventuels manquements de l'AP-HP à ses obligations de sécurité, car de nombreuses fuites sont simplement liées à une mauvaise sécurisation des bases de données.
L'établissement précise que les pirates ont ciblé un « service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP, qui lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe. » Interrogé sur le sujet par Numerama, l'AP-HP n'a pas précisé qui avait développé l'outil. Mais en indiquant qu'il est « hébergé sur ses propres infrastructures techniques », elle rappelle qu'elle contrôlait sa sécurité.
Ce logiciel était utilisé en complément du SI-DEP, le système d'information national de dépistage qui sert à centraliser et à certifier les tests, lui-même géré par l'AP-HP (mais épargné par l'attaque). Concrètement, il sert à transmettre les résultats produits par les laboratoires vers l'Assurance Maladie et les agences régionales de santé, pour le suivi du traçage des contacts.
Courant août 2021, le SI-DEP a accusé une panne dans ses outils de transmission, ce qui empêchait les patients d'obtenir le QR Code qui faisait office de pass sanitaire. Le fichier avait déjà eu des problèmes en 2020 d'après l'AP-HP, et c'est à ce moment que le programme piraté aurait été utilisé.
Quelles données ont fuité ?
L'AP-HP indique que l'incident touche uniquement les données récoltées dans le cadre d’1,4 million de tests. Chacun d'entre eux contient :
L'identité du patient testé.
Son numéro de sécurité sociale.
Ses coordonnées. L'AP HP ne donne pas le détail, mais le terme peut désigner l'adresse du domicile, l'adresse email et le numéro de téléphone de la victime, généralement demandés lors d'un test.
L'identité et les coordonnées du professionnel de santé qui a effectué le test.
Le type de test effectué.
Le résultat du test. Cette dernière information donne une tout autre ampleur à l'incident, puisqu'il s'agit d'une donnée de santé, considérée comme « donnée sensible » au regard du droit.
Que peut faire un malfrat avec ces données ?
La base de données volée a une grande valeur, car elle contient un nombre important de données sur chaque personne. Les hackers peuvent envisager plusieurs scénarios malveillants :
L'envoi de phishing, par email ou par SMS. Grâce aux informations de la fuite, les malfaiteurs peuvent créer un faux message convaincant, dans le but d'obtenir les informations de carte bancaire ou les identifiants de la victime. Par exemple, ils pourraient se faire passer pour l'Assurance maladie, et faire miroiter un faux remboursement. En affichant le numéro de sécurité sociale -- une donnée en théorie bien protégée -- il augmenterait leur chance de réussite, car le message serait plus crédible.
Le vol de comptes importants. Dans le lot de données en fuite, le numéro de sécurité sociale a une valeur particulière. Il permet, combiné à un mot de passe, de se connecter à France Connect, la plateforme d'authentification pour les services publics. Ce scénario implique une manipulation relativement laborieuse, mais il pourrait par exemple aboutir au piratage du compte formation de la victime .
Comment savoir si je suis concerné ?
Dans son communiqué, l'AP-HP précise que la fuite contient « presque exclusivement » des tests réalisés « mi-2020 en Île-de-France ». Cette indication suffira à écarter les inquiétudes de beaucoup, mais la période concernée correspond aux départs en vacances d'été, période à laquelle de nombreux Parisiens ont réalisé un test afin de pouvoir voyager.
Cette période de doute ne devrait néanmoins pas durer. « Toutes les personnes concernées, à qui l’AP-HP présente ses excuses, seront informées individuellement dans les prochains jours », promet l'institution. Cette communication, importante et nécessaire pour se protéger d'éventuelles conséquences, est prévue par la loi. Le règlement général sur la protection des données, connu sous l'acronyme RGPD, prévoit qu'en cas de découverte d'une fuite, l'organisation touchée prévienne l'autorité des données, la Cnil, sous 72 heures -- ce qu'a fait l'AP-HP. Ensuite, dans le cas où les données personnelles représentent un « risque élevé » pour les personnes concernées, l'organisation a trois jours supplémentaires pour les prévenir individuellement.
Une fois les données fuitées, elles sont dans la nature à jamais. Pour se protéger des conséquences de la fuite, il n'y a pas d'autre solution que de redoubler d'attention face aux phishings et autres comportements louches.
Et maintenant ?
« Les investigations se poursuivent », précise l'AP-HP. L'enquête pourrait révéler de nouveaux détails sur l'incident dans les semaines à venir, mais encore faut-il que l'institution la rende publique. Les deux organisations compétentes sur le sujet, l'Anssi et la Cnil, ont été prévenues. L'enquête a deux principaux objectifs :
Comprendre le mode opératoire et la nature des vulnérabilités exploitées. Cela pourrait aider à mieux cerner quel type de hacker a pu commettre l'attaque. S'agissait-il de cybercriminels à la recherche de données à revendre ? Ou bien de hackers financés par un État avec des objectifs stratégiques ? Découvrir le détail technique de la cyberattaque pourrait aussi aider d'autres organisations à se protéger contre des attaques similaires.
Remonter l'origine de l'attaque, même s'il est probable que l'auteur ou l'autrice de l'attaque ne soit jamais identifié. Attribuer une cyberattaque est en effet une science imprécise, surtout si le hacker a pris un minimum de précaution. Les enquêteurs remontent à des adresses IP -- c'est-à-dire de adresses de machines -- mais ne peuvent pas conclure que ces appareils sont le point d'origine de l'attaque. Pire, dans le cas où l'adresse IP est située à l'étranger, le casse-tête de l'attribution se complexifie encore, puisque des enjeux de droit international et de diplomatie entrent en jeu. Reste l'éventualité que l'attaquant soit un petit délinquant, qui n'aurait guère protégé ses traces, avant de voler les données.
En parallèle de l'enquête, il faudra suivre l'itinéraire de la fuite de données. Plusieurs scénarios sont possibles :
Les voleurs gardent la base de données dérobée pour eux même, et l'exploitent à des fins malveillantes
Les voleurs la vendent (avant ou après l'avoir eux-mêmes exploité). La base d'informations volées devrait en effet avoir une valeur marchande élevée. L'acheteur pourrait ensuite décider de l'exploiter à ses propres fins et/ou de lui-même la revendre. Parfois, le système de revente en chaîne aboutit à une mise en ligne gratuite des données volées sur des forums de hackers réputés.