Ce que l’on sait de la fuite "sans précédent" de données médicales de laboratoires d'analyses

Le pouvoir de nuisance des cyberattaques est de plus en plus visible. Après les piratages qui ont visé les hôpitaux de Villefranche-sur-Saône et Dax ce mois-ci, suivis par des demandes de rançon, le blog spécialisé en cybersécurité Zataz et le quotidien Libération ont mis en lumière une importante fuite de données médicales sur internet, comportant des informations sur près de 500.000 personnes en France. Voici ce que l'on sait, à l'heure actuelle.

D'où provient ce fichier ?

Cette base, au format CSV, qui circule librement sur internet (c'est d'autant plus inquiétant), proviendrait des données collectées par une trentaine de laboratoires de biologie médicale, situés pour l'essentiel dans le quart nord-ouest de la France (Morbihan, Eure, Loiret, Côtes-d’Armor, Loir-et-Cher notamment), d'après l'enquête menée par la rubrique de vérification Checknews du quotidien Libération. Elle correspond aux prélèvements effectués entre 2015 et octobre 2020, mais majoritairement en 2018 et 2019.

Que contient le fichier ?

Le fichier comporte précisément 491 840 noms associés à des coordonnées (adresse postale, téléphone, email) et à un numéro de sécurité sociale. Ils sont parfois accompagnés d'indications détaillées : groupe sanguin, médecin traitant, mutuelle, ou encore de commentaires sur l'état de santé (dont une éventuelle grossesse), des traitements médicamenteux, ou des pathologies (notamment le VIH) dont la présence et la précision est tout à fait critiquable, au regard du respect de la vie privée. 

Par ailleurs, si les résultats d'analyses et dossiers médicaux ne sont pas insérés à la base, on y trouve de nombreux identifiants de connexion, indique Libération, permettant de se connecter à des espaces privés sur les sites de ces laboratoires et donnant accès aux résultats. "Compte tenu de leur structure, ces mots de passe semblent choisis par les utilisateurs (et non générés aléatoirement par les laboratoires) : ils peuvent donc potentiellement être utilisés pour avoir accès à d’autres services, comme leur boîte mail, s’ils utilisent le même", note le journal.

Hervé Morin apparaît-il dans ce fichier ?

Oui, l'ancien ministre de la Défense, ancien député de l'Eure et actuel président de la région Normandie fait partie des noms qui apparaissent dans ce fichier de données, en tant que patient. "C'est ahurissant", réagit-il auprès de Libération, esquissant la possibilité d'une plainte au pénal. 

D'où vient la faille ? 

La période des prélèvements qui apparaissent dans le fichier coïncide, pour les laboratoires interrogés, avec l'utilisation d'un même logiciel de saisie de renseignements médico-administratifs édité par le groupe Dedalus, qui n'est aujourd'hui plus vendu ni mis à jour. Cette solution informatique, Mega-Bus, aurait été abandonnée depuis au profit d'un autre logiciel du même groupe ou non. 

Que répond l'éditeur de ce vieux logiciel ? 

L'entreprise émet l'hypothèse, auprès de Libération, d'une fuite au moment des transferts vers les nouveaux logiciels ou bien des problèmes de sécurisation des réseaux des laboratoires, se dédouanant au passage. Par ailleurs, il est très probable que ces données n'aient pas été chiffrées au niveau du stockage. 

"Nous n'avons aucune certitude quant au fait que ce soit uniquement un logiciel Dedalus France qui est en cause dans cette affaire", a réagi auprès de l'AFP le directeur général délégué Didier Neyrat. "Nous avons mis en place une cellule de crise car nous prenons cela au sérieux et nous allons travailler en partenariat avec nos clients pour comprendre ce qu'il s'est passé", a-t-il ajouté.

Contactés par CheckNews, d’anciens salariés de Dedalus dénoncent assez largement une politique de sécurité informatique trop légère. La société a d'ailleurs été victime, sur son site de Mérignac (Gironde), d'une attaque informatique de type rançongiciel début décembre. Une attaque bloquée et pour laquelle Dedalus n'a pas répondu à la demande de rançon. 

Enfin, en octobre, le journaliste Jean-Marc Manach révélait sur le site spécialisé NextImpact que Dedalus avait licencié pour "faute grave" l'un de ses salariés qui dénonçait des failles de sécurité dans les logiciels édités par l'entreprise. 

Et les autorités ? 

L'Agence nationale de la sécurité des systèmes d'informations (Anssi) a indiqué à l'AFP avoir identifié l'"origine" de la fuite des données de santé, et l'avoir signalée au Ministère des Solidarités et de la Santé en novembre 2020. "Les recommandations nécessaires ont été données par l'Anssi pour traiter l'incident", a-t-elle ajouté sans donner aucun détail supplémentaire.

De son côté, la Cnil, gendarme de la protection des données personnelles, a lancé mercredi des contrôles pour établir les manquements responsables de la fuite. Si l'ampleur de la fuite était vérifiée, l'affaire présenterait "une gravité particulière" au regard du nombre de victimes et de la sensibilité des informations médicales diffusées, a estimé Louis Dutheillet de Lamothe, secrétaire général de la Commission nationale Informatique et Libertés. 

Pourquoi le fichier circule-t-il librement aujourd'hui ? 

"On peut retrouver ce fichier à 7 endroits différents sur internet", explique Damien Bancal, journaliste spécialiste de la cybersécurité, qui a le premier identifié la fuite le 14 février sur son blog Zataz. Il est par exemple disponible sur un forum où sont régulièrement vendues des bases de données, confirme à France Inter le chercheur en cybersécurité Baptiste Robert. 

D'après Damien Bancal, le fichier était l'objet d'une négociation commerciale entre plusieurs pirates sur un groupe Telegram spécialisé dans l'échange de bases de données volées et l'un d'entre eux l'a diffusé sur le web suite à une dispute, lui faisant ainsi perdre toute sa valeur marchande. 

Mais on ne sait pas si les données rendues publiques constituent l'intégralité du fichier possédé par les pirates ou seulement une partie : "500.000 données, c'est déjà énorme et rien n'empêche de penser que les pirates en possèdent encore beaucoup plus." En effet, les pirates réalisent parfois des échantillons. 

Est-ce vraiment une fuite "sans précédent" ? 

Oui, d'après plusieurs spécialistes. "Une telle quantité de données de santé rendue publique de cette manière, ça n’a pas de précédent", estime Baptiste Robert. Elle est d'autant plus grave que les données, parfois très sensibles, sont accessibles gratuitement. Les personnes qui y figurent peuvent faire l'objet d'un phising rendu plus redoutable par la personnalisation possible grâce aux informations détaillées. Les données peuvent aussi permettre des usurpations d'identité, la réalisation de faux (ordonnances, par exemple), là aussi, grâce au niveau important de précision du fichier. 

En clair, le potentiel de ce fichier, pour des cybercriminels, est vertigineux : "500 000 lignes, c'est un volume très important", qui "vaut beaucoup d'argent" précise Baptiste Robert, encore très étonné d'avoir vu cette base de données mise en ligne gratuitement.

Est-ce la conséquence d'un piratage antérieur ?

C'est l'une des hypothèses, mais c'est loin d'être la seule. Comme nous l'indiquions plus haut, la société éditrice de logiciels, Dedalus, a subi une attaque au rançongiciel en décembre, elle a peut-être permis l'accès à ce fichier de données. Mais certains experts ne ferment pas la porte à la possibilité d'un acte malveillant, d'une fuite motivée par la colère ou la vengeance. 

"Cela peut être interne, une erreur, une clé USB qui traîne dans un coin. Ça peut être dans une poubelle, car oui on trouve de temps en temps, malheureusement trop souvent, des informations dans des poubelles. Cela peut être des fuites internet, une faille, une porte ouverte parce que non corrigée, un courrier piégé. Malheureusement, un pirate c'est un couteau suisse. Chaque lame est une possibilité malveillante et ils vont toutes les utiliser", indique à France Info Damien Bancal. 

"La vraie question est de savoir comment quelqu'un a réussi à lever 500 000 lignes de données sans la moindre alerte", note Baptiste Robert. En effet, avant les premiers signalements de la semaine dernière, aucun signe de ce piratage n'était remonté à la surface.