Un fichier de « 491 840 lignes » correspondant à « presque autant de patients français » a été divulgué sur internet. Pour chaque personne, « jusqu’à 60 informations différentes » sont disponibles : « numéro de Sécurité sociale, date de naissance, groupe sanguin, adresse, numéro de téléphone portable, médecin prescripteur » assorties parfois de considérations relatives à l’état de santé du patient, comme la mention d’une grossesse, ou encore d’un traitement médicamenteux ou d’une pathologie. « De nombreux identifiants et mots de passe qui servent à accéder aux “espaces patients” des laboratoires » sont également mentionnés dans le fichier. Et pour Damien Bancal, journaliste spécialisé en cybersécurité à l’origine de cette découverte qu’il a révélée sur le blog Zataz, « rien n’empêche de penser que les pirates en possèdent encore beaucoup plus ».
A l’origine « objet d’une négociation commerciale entre plusieurs pirates sur un groupe Telegram spécialisé dans l’échange de bases de données volées », on peut maintenant retrouver le fichier « à 7 endroits différents sur Internet » explique le journaliste. Des informations « en libre accès sur des forums ou bien des réseaux sociaux classiques », comme cela a été observé « très récemment ».
Des données issues de laboratoires de biologie médicale
D’après l’enquête du journal Libération sur le sujet, « les données proviendraient d’une trentaine de laboratoires de biologie médicale », localisés pour l’essentiel dans le Morbihan, les Côtes-d’Armor, l’Eure, le Loiret, et le Loir-et-Cher. Les données correspondraient à des prélèvements effectués entre 2015 et octobre 2020. A cette période, tous ces laboratoires utilisaient le logiciel de saisie de renseignements médico-administratifs, Mega-Bus commercialisé par la société Dedalus, et progressivement abandonné ces derniers temps. Didier Neyrat, directeur général délégué de l’entreprise indique avoir « mis en place une cellule de crise car nous prenons cela au sérieux ». « Nous allons travailler en partenariat avec nos clients pour comprendre ce qu’il s’est passé » précise-t-il, affirmant toutefois n’avoir « aucune certitude quant au fait que ce soit uniquement un logiciel Dedalus France qui est en cause dans cette affaire ».
Un « marché » en croissance
Aujourd’hui, « acheteurs et vendeurs s’échangent quotidiennement des milliers de dossiers, sur des forums bien organisés ». Des données qui « valent une fortune en cryptomonnaies ». Alors « les cybercriminels se démènent pour fournir ces données ».
« Un autre document contenant les coordonnées de 50 000 employés d’hôpitaux français a lui aussi été découvert ». D’une valeur qui « pourrait atteindre 2000 euros », il n’est « pas possible de savoir si ces données ont été vendues, ni à combien d’entités ».
Complément du 21/04/2022 : La CNIL a sanctionné la société Dedalus Biologie d’une amende de 1,5 millions d’euros. Un montant établi « au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d’affaires de la société ».
Dans sa délibération datée du 15 avril 2022, la Commission pointe plusieurs manquements aux obligations prévues par le Règlement Général sur la Protection des Données (RGPD), « en particulier à l’obligation d’assurer la sécurité des données personnelles ».
La formation restreinte de la CNIL qui a pris cette décision a choisi de la rendre publique.
Sources : Libération, Fabien Leboucq, Florian Gouthière, Vincent Coquaz et Alexandre Horn (23/02/2021) ; Le Figaro, Tom Kerkour (22/02/2021) ; Le Monde (23/02/2021) ; L’Express (24/02/2021) ; CNIL (21/04/2022)
