Un jeune homme de 22 ans est le principal suspect de l’attaque informatique de l’AP-HP qui a débouché sur la fuite de 1,4 million de résultats de tests pour le Covid-19. Le code pénal peut s’avérer très sévère contre ce genre d’opération.

Les circonstances dans lesquelles s’est déroulée l’importante fuite de données médicales à l’Assistance publique-Hôpitaux de Paris (AP-HP) s’éclaircissent. Alors que les faits remontent à près de trois semaines, le Journal du Dimanche rapporte, dans son édition du 8 octobre, qu’un suspect a été interpellé dans le Var trois jours plus tôt. Il a été mis en examen dans la foulée.

L’accusé, qui est âgé de 22 ans, risque gros. Il est poursuivi de plusieurs chefs d’accusation, dont l’accès et le maintien frauduleux dans un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, l’extraction de données dans ce même système, la collecte de ces données personnelles par un moyen frauduleux, déloyal ou illicite, et enfin, leur divulgation illégale volontaire.

Le code pénal prévoit, notamment dans ces articles 323-1 et 323-3, des sanctions sévères pour réprimer tout accès, maintien, extraction, collecte et divulgation non autorisés. Dans la mesure où le système affecté est lié à l’État, des circonstances aggravantes sont en jeu. On parle d’une peine de 5 ans de prison et de 150 000 euros d’amende, mais aussi d’une autre de 7 ans de prison et 300 000 euros d’amende.

Ces peines, qui ne s’excluent pas, peuvent également être complétées par celle prévue à l’article 226-18, toujours du code pénal. Concernant justement cette collecte, la loi prévoit 5 ans de prison et 300 000 euros d’amende. Quant à la divulgation, l’article 226-22 punit tout fautif de 5 ans de prison et 300 000 euros d’amende. Il s’agit, pour l’ensemble de ces articles, de plafonds. La peine réelle peut être bien moindre.

Le suspect a médiatisé son geste sur Twitter et JeuxVideo.com

La rapidité avec laquelle les enquêteurs ont pu retrouver la trace de ce suspect s’explique en partie par le fait qu’il en avait fait la publicité sur son compte Twitter (qui se dénommait @scrizophrene, mais il a été désactivé), signalent nos confrères. Il a aussi publié un lien de téléchargement sur le forum du site jeuxvideo.com — ce n’est pas la première fois que cet espace est le réceptacle involontaire pour des fuites.

Parler publiquement de ce piratage à la fois sur Twitter, qui est amené à coopérer avec la police et la justice à leur demande, et sur jeuxvideo.com, qui est aussi tenu de répondre à la loi française, n’était sans doute pas l’idée la plus raisonnable de « scrizophrene », puisque les autorités peuvent réclamer de ces deux plateformes des éléments en vue d’identifier l’auteur.

L’intéressé a reconnu les faits en garde à vue, ajoute le Journal du Dimanche. Selon France Info, les motivations du jeune homme, âgé de 22 ans, mêlent à la fois convictions politiques — il se dit opposé au pass sanitaire — et désir de pointer les faiblesses du système de santé. Mais plutôt que de signaler l’existence d’une vulnérabilité à l’AP-HP ou au ministère de la santé, le choix a été fait de faire fuiter des données.

Image d'erreur

Test covid. // Source : CCO/Pixabay

La cible aussi pose question : s’il est hostile au pass sanitaire, l’on peut questionner le fait d’avoir attaqué une base de données qui concerne les tests de dépistage au Covid-19. Il ne s’agit, en effet, pas des codes QR du public. Or, les tests de dépistage au coronavirus, s’ils sont utilisés dans le cadre du pass sanitaire, existaient déjà bien avant ce dispositif. Leur but vise avant tout à vérifier son statut médical.

La fuite a été massive, car elle a exposé les résultats de 1,4 million de personnes, surtout en Île-de-France.  Parmi les données qui ont été sorties figurent l’identité du patient ou de la patiente, son numéro de sécurité sociale, ses coordonnées, le type du test et son résultat. Ce sont donc à la fois des données personnelles, mais aussi des données sensibles, du fait de leur statut médical. Elles sont strictement encadrées par le RGPD.

Le piratage a été rendu possible par l’exploitation d’une faille informatique figurant dans un logiciel utilisé par l’AP-HP pour stocker des données sur Dispose, un outil interne qui sert à  déposer et échanger des fichiers entre membres de l’AP-HP. Au-delà de l’utilisation d’une telle vulnérabilité, des questions se posent sur la manière dont étaient gérées et purgées les données médicales sur ce service.

Une fois découvert l’incident de sécurité, l’AP-HP a pris contact avec toutes les personnes concernées pour leur expliquer ce qu’il s’est passé et les démarches à entreprendre. C’est essentiellement un risque de hameçonnage qui se pose pour les victimes, avec l’emploi de ces informations extraites pour tenter de rendre crédible une escroquerie. Heureusement, il existe des ressources pour se défendre.

une comparateur meilleur gestionnaire mdp numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !