La cybercriminalité a encore sévi… Le 23 février dernier, le quotidien Libération révélait que des informations médicales confidentielles de 491 840 patients avaient été dérobées et diffusées en ligne. Une partie importante des données dévoilées seraient issues de fichiers d’établissements d’analyses médicales domiciliés dans le Loiret et le Loir-et-Cher.
Parmi les renseignements publiés, outre les noms des laboratoires de biologie piratés, on trouve l’identité des patients avec adresse postale et mail, numéro de téléphone mais aussi parfois le groupe sanguin, leur numéro de Sécurité sociale, l’identité du médecin traitant ou encore des commentaires sur leur état de santé et les traitements suivis.
Nous avons interrogé l’Orléanais Jean-Marc Bourguignon, expert en numérique, qui collabore auprès de nombreux médias et ONG, sur les moyens de protéger leurs informations.
Quel est votre sentiment à l’annonce de cette révélation ?
Jean-Marc Bourguignon : Une fois de plus, cela relève d’une absence profonde et coupable de professionnalisme dans la sécurisation des données stockées et potentiellement accessibles en ligne. Tous les milieux, qu’ils soient professionnels ou non, peuvent être attaqués par des cybercriminels. Ça n’arrive pas qu’aux autres ! Le nombre de victimes fait le « buzz » mais rien ne change vraiment. Tous les jours, des bases de données sont piratées… Les personnes, dont l’identité avec des indications personnelles sensibles ont été publiées sur le Web, risquent de recevoir une grande quantité d’appels ou de courriels personnalisés pour des démarchages malhonnêtes ou pour des tentatives de piratage et d’escroquerie.
Est-ce là le principal danger ?
J-M. B. : Le premier danger est l’utilisation de ces données à des fins frauduleuses et malveillantes. Il y a des risques de tentatives d’hameçonnage* par mail ou SMS, d’usurpation d’identité, d’utilisation des adresses mails pour nuire à la personne ou à ses relations. Un second danger plus insidieux existe. C’est l’utilisation de ces renseignements par des établissements financiers indélicats, des sociétés de crédit sans scrupule, afin d’évaluer le profil de ces victimes, si elles souhaitaient faire une demande de prêt ou d’assurance. C’est interdit mais malheureusement possible…
Comment savoir rapidement si son laboratoire d’analyse médical a été piraté et son dossier personnel divulgué ?
J-M. B. : Tout patient inquiet peut téléphoner directement à son laboratoire d’analyse médical pour se renseigner. Théoriquement la réglementation oblige les structures concernées de procéder à une notification auprès de la CNIL dans les 72 heures et d’informer individuellement les personnes dont les données ont été publiées en ligne. On peut éventuellement consulter le site de la société ACCEIS basée à Rennes.
Quelles précautions les personnes concernées doivent-elles prendre ?
J-M. B. : Je conseille d’être particulièrement attentif vis-à-vis des mails et des SMS. Les personnes en cause doivent attentivement vérifier l’origine des messages, ne pas ouvrir un lien reçu par SMS et provenant d’un numéro téléphonique inconnu. Si un mot de passe sert pour plusieurs services ou sites, il faut impérativement en changer.
Depuis quelques années, les établissements de santé français deviennent des cibles privilégiées de la cybercriminalité. En région Centre Val de Loire, les hôpitaux d’Issoudun puis et de Vierzon ont vécu des cyberattaques fin 2019. Les 8 et 15 février derniers, c’était les hôpitaux de Dax et de Villefranche-sur-Saône. Pourquoi toutes ces attaques sur des établissements sanitaires ?
J-M. B. : Les attaques sont motivées par l’appât du gain. Il s’agit majoritairement de rançongiciels** avec demande d’argent pour que l’attaque s’arrête, que les données soient restituées et que les postes informatiques de l’établissement ciblé soient débloqués. Les cybercriminels choisissent prioritairement les infrastructures connues pour ne pas être parfaitement sécurisées ou ayant des systèmes obsolètes, anciens ou non mis à jour. En paralysant un Opérateur d’Intérêt Vital d’un pays, tel qu’un hôpital, les cybercriminels espèrent que les rançons seront plus surement acquittées. Officiellement la consigne est de ne jamais payer, dans la réalité ce n’est pas si certain. Dans le secteur privé, compte-tenu des sommes en jeu, les rançons sont souvent versées.
Propos recueillis par Jean-Paul Briand
*L’hameçonnage (phishing) a pour objectif d’opérer une usurpation d’identité afin d’obtenir des renseignements personnels et des identifiants bancaires pour en faire un usage criminel.
**Les rançongiciels (ransomware) sont des programmes informatiques malveillants dont l’objectif est de chiffrer des données puis de demander à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.