Depuis le 23 février, un fichier rempli de milliers de données de patients français concentre l’attention. Il avait été repéré dès le 14 février par Zataz, puis Libération a publié son enquête sur le sujet.
Le fichier, une gigantesque base de données personnelles et sensibles, s’échange à grande vitesse. De quoi susciter de l’inquiétude de la part des autorités, mais aussi de l’ensemble des Français. Pour mieux comprendre l’incident, Cyberguerre a répondu aux 7 questions les plus demandées.
D’où viennent les données ?
Les données semblent provenir de 27 laboratoires français, distingués par leurs identifiants. Elles auraient été collectées entre 2015 et 2020, et la majorité d’entre elles datent de 2018 et 2019. Libération a relevé que ces laboratoires ont en point commun l’utilisation d’un même logiciel de saisie des renseignements médico-administratifs, édité par Dedalus. Cette entreprise gère également le parc informatique de plusieurs de ces laboratoires.
Fin 2020, elle a subi une attaque rançongiciel, quelque mois après les accusations de négligences de sécurité portées par un de ses anciens employés. Pour l’instant, cette origine supposée n’a pas été confirmée officiellement.
Quelles données ont fuité ?
Le fichier compte précisément 491 839 lignes, et il faut avoir quelques compétences en informatique pour le manipuler.
- À chaque ligne se trouve quasi systématiquement, le nom, le numéro de sécurité sociale, la date de naissance d’un patient, ainsi que les coordonnées de son médecin.
- Dans plus de la moitié des cas, des lignes se trouvent aussi l’adresse email, le numéro de téléphone, ou encore le groupe sanguin du patient.
- Un dernier type d’information, encore plus sensible, est indiqué de manière ponctuelle dans une section commentaire : grossesse, séropositivité, autres antécédents médicaux. Seule une très petite fraction des victimes de la fuite est concernée.
D’autres données, plus secondaires, accompagnent ce flot de données personnelles.
Où ce fichier circule-t-il ?
Damien Bancal, premier à parler publiquement de la fuite en France, explique avoir récupéré la base de données dans un groupe privé sur l’app de messagerie Telegram. D’autres sources nous ont confié l’avoir trouvé sur au moins deux forums et un groupe Telegram supplémentaire, tous spécialisés dans l’échange de données volées. Au moins un de ces forums est accessible à n’importe qui, sans invitation ni autorisation. Nul doute qu’au fur et à mesure que la base de données se diffuse, elle finira par être accessible sur d’autres plateformes consultées par les malfrats.
C’est un problème : un grand nombre de délinquants, professionnels comme amateurs, peuvent mettre la main sur le fichier.
La base de données ne s’échange pas que dans le monde cybercriminel, il circule aussi dans le milieu de la cybersécurité : tout le monde veut savoir si ses proches font partie ou non de la fuite. Les autorités françaises ont également connaissance du fichier, que ce soit l’Anssi, l’agence compétente dans la lutte contre les cyberattaques, ou la Cnil, l’autorité française des données.
Conclusion : la fuite a largement dépassé le stade confidentiel, ce qui accentue l’ampleur de l’incident.
Est-ce que je peux savoir si je suis concerné ?
C’est la question que se posent tous les Français. Ceux qui savent comment se procurer la base vont vérifier d’eux-mêmes, malgré le fait qu’elle ait été obtenue de façon illicite. Mais la majorité des citoyens n’ont pas les compétences techniques, ou ne veulent tout simplement pas s’aventurer sur des forums illégaux.
Il existe un site de référence, Have I Been Pwned, pour savoir si ses informations figurent dans une fuite de données. Mais le site, qui agrège plus de 10,5 milliards de lignes de données fuitées, n’a pour l’instant pas téléchargé la base de données des patients français. Et peut-être qu’il ne le fera jamais.
En conséquence, quelques initiatives privées ont vu le jour afin de proposer à n’importe qui de savoir si oui ou non, leur nom figure dans la fuite de données. Problème : ces outils s’aventurent aux limites du droit, et notamment celles du fameux règlement général sur la protection des données (RGPD). Et ce n’est pas tout : par précaution, ces sites n’indiquent que la présence du nom dans la base, et ne listent pas les données qui y sont liées (informations de contacts, antécédents médicaux…). Cette imprécision empêche les victimes d’évaluer pleinement leur situation.
La Cnil, l’autorité française des données a déjà expliqué à Cyberguerre qu’elle ne créerait pas d’outil du même genre. En revanche, elle a rappelé par communiqué que la victime de la fuite devait la notifier de l’incident, et que la loi prévoyait qu’elle communique auprès des personnes dont les données sensibles ont été exposées. Les personnes concernées pourraient être prévenues, mais faut-il encore que l’origine de la fuite soit clairement identifiée.
Quels risques représente la fuite ?
Grâce aux données du fichier, les cybercriminels peuvent envisager plusieurs scénarios d’attaque :
- Du phishing. Plus les malfrats disposent d’informations sur une personne, plus ils peuvent créer un message convaincant, que leur cible pourrait croire. L’objectif d’un phishing est le plus souvent de dérober des informations bancaires ou des identifiants. Dans certains cas, les malfaiteurs essaieront de faire télécharger un malware à leurs victimes. Puisque le fichier contient les moyens de contacts des patients, le travail des délinquants est pré-mâché.
- Le chantage à la divulgation de données. Le petit nombre de données très sensibles que contient la base, comme la séropositivité de certaines personnes, pourrait servir à alimenter des manœuvres de chantage. Soit la victime paie, soit ses proches ou son employeur seront mis au courant d’un secret médical.
- Tentatives de connexion à d’autres sites. Le numéro de sécurité sociale est une information sensible, utilisée comme moyen d’authentification pour certains services, notamment publics. Combiné avec les autres informations de la base, il pourrait permettre de se connecter à certains comptes.
Comment se protéger de la fuite de données ?
C’est une vaste question, difficile à répondre. Il faut comprendre qu’une fuite de données ne fonctionne pas comme une fuite d’eau : on ne peut pas simplement la boucher et l’éponger sans laisser de trace. Une fois que les données sont hors du contrôle de l’entreprise qui les hébergeait, elles peuvent circuler indéfiniment sur le web, et de nombreuses personnes vont les sauvegarder.
Il n’existe pas de moyen centralisé pour éliminer ces données, et les victimes n’ont d’autres choix que de s’adapter. Quelques précautions générales s’appliquent tout de même :
- Redoublez de vigilance par rapport aux messages que vous recevez, que ce soit par téléphone ou par email, surtout s’ils sont liés au médical. Cela vous permettra de déjouer les tentatives de phishing.
- Surveillez vos comptes sensibles plus régulièrement, notamment ceux liés à la santé (mutuelle, ameli…).
- Activez la double authentification quand c’est possible. Cela permettra d’avoir une protection supplémentaire même si des malfaiteurs parviennent à deviner ou réinitialiser votre mot de passe.
Quelles suites judiciaires pour les différentes partis impliquées ?
D’après l’AFP, reprise par Le Monde, la section J3 du Parquet de Paris, spécialisée en cybercriminalité, a ouvert une enquête au pénal. Les magistrats ont confié l’affaire à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), une division spécialisée de la police judiciaire. En cause : l’« accès et maintien frauduleux dans un système de traitement automatisé de données » et l’« extraction, détention et transmission frauduleuse » de ces données.
Mais ce n’est pas tout : l’Anssi, la Cnil et le Ministère de la Santé enquêtent aussi sur la fuite, aux côtés de l’éditeur de logiciels soupçonné d’être l’origine de la fuite, c’est-à-dire le point d’entrée des hackers. Cette investigation devrait mettre au jour le mode opératoire des malfaiteurs, et permettre de mieux comprendre l’étendue de l’incident.
La Cnil a rendu le 21 avril 2022 une sanction de 1,5 million d’euros à l’encontre de Dedalus — ce qui équivaut au résultat net de la société 2020. C’est un montant considérable à cet égard.
La Commission a puni en particulier l’absence de mesures de la part de l’entreprise pour faire cesser la diffusion du fichier lorsqu’elle en a eu connaissance. « C’est la présidente de la CNIL, et non la société Dedalus Biologie, qui a fait délivrer une assignation en référé afin que soit assuré le blocage effectif du fichier litigieux », lit-on dans la décision.
De fait, cela montre que les structures subissant une fuite de données — surtout si elle est de taille — ont l’obligation d’agir, en recourant à toutes les dispositions qui sont prévues dans la loi pour retirer les fichiers ou, a minima, limiter sa diffusion. Il est notamment possible de demander des blocages judiciaires qui s’imposeront aux fournisseurs d’accès à Internet.
Au regard, du RGPD, les laboratoires qui ont saisi les informations des patients dans le logiciels sont aussi responsables de traitement des données. Ils sont donc soumis à des exigences dans les moyens qu’ils utilisent pour protéger les données de leurs patients. Si ceux-ci sont jugés insuffisants, les laboratoires pourraient être sanctionnés.
Pour finir, les hackers à l’origine de la fuite, les personnes qui publient la base et celles qui la détiennent s’exposent aussi à des risques juridiques, allant d’amendes aux peines de prison.
(mise à jour le 24 avril avec la délibération de la Cnil)
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
