Les répercussions se multiplient suite à la fuite géante de données personnelles médicales concernant près d'un demi-million de Français. A la suite d'une saisie en référé par la présidente de la Cnil Marie-Laure Denis, le tribunal judiciaire de Paris a ordonné aux fournisseurs d'accès Internet (Orange, SFR, Bouygues Telecom et Free) de bloquer l'accès à un site hébergeant un fichier contenant des données relatives à 500 000 patients. « La CNIL demeurera attentive, en liaison avec l'ANSSI et le parquet de Paris, à la nécessité d'éventuelles mesures complémentaires », a indiqué la commission. « Elle a également pris les mesures nécessaires auprès des organismes concernés afin que les personnes dont les données ont été diffusées soient informées de cette violation par les laboratoires dans les meilleurs délais ».
« La mise en ligne de ce fichier, contenant de très nombreuses données relatives à l’identité et à la santé de près de 500 000 personnes, constitue une atteinte grave et immédiate aux droits des personnes concernées, notamment le droit au respect de la vie privée », a indiqué le tribunal. Le service d’hébergement gratuit de fichiers visé par le blocage avait enregistré son nom de domaine en juillet 2020 avec une extension correspondant à l’île de Guernesey. « Il est distribué par l’accélérateur de contenus américain Cloudflare qui a laissé sans réponse les demandes de la Cnil », précise Le Parisien.
Des attaques par spear phishing contre des militaires et agents de renseignements à craindre
Parmi les Français victimes de ce hack, le site Intelligence Online indique que 1 767 militaires, dont des agents des services de renseignement extérieur, sont concernés. La base de données contient, selon nos relevés, les mêmes données d’au moins 1 767 militaires. Ces derniers sont identifiables par leur affiliation à la Caisse nationale militaire de sécurité sociale de Toulon », assure le site. La majorité des militaires concernés sont localisés à Evreux, dont plus de 230 rattachés à la base aérienne 105 abritant trois escadres, dont le groupe aérien mixte 56 Vaucluse, l’unité aérienne du service action de la DGSE et la direction générale de la sécurité extérieure.
« Si la base de données ne contient pas les adresses courriel ni les mots de passe, ce qui permet aux armées de rester sereines quant à l’intégrité de leurs systèmes d’information, elle contient tout de même des informations personnelles telle que les numéros de sécurité sociale, adresses postales, dates de naissance ou encore numéros de téléphone portable. De quoi faire craindre de futures attaques de phishing sur cette base très sensible », indique IO.
28 laboratoires médicaux utilisant Dedalus piratés ?
Les données du fichier dans le viseur de la Cnil et du tribunal de Paris contient 491 840 noms et coordonnées (adresse, téléphone et e-mails) ainsi que numéros de sécurité sociale et également des indications liées à l'état de santé des personnes. Cela peut aller du groupe sanguin aux traitements médicaux pour des pathologies comme des cancers ou le VIH. Ce fichier aurait été alimenté par des données issues de 28 laboratoires médicaux en régions Bretagne, Centre-Val-de-Loire et Normandie ayant été piratés. Le point commun de tous ses laboratoires est d'utiliser le même logiciel pour établissement de santé, Dedalus France.
La majorité des données remonteraient entre 2018 et 2019. D'après Next Inpact, un employé de Dedalus France aurait été licencié en octobre 2020 après avoir tenté d'avertir à de multiples reprises son employeur au sujet de failles de sécurité dans ses logiciels ce que l'éditeur a fermement démenti dans un premier temps. « Il n’y a pas de faille de sécurité et il n’y en a jamais eu », avait alors lancé Didier Neyrat, directeur général délégué de Dedalus France. Avant, quelques semaines plus tard de se montrer moins catégorique : « a priori il n'y a eu aucun vol de données ».
Particulièrement touché et exposé par des cyberattaques - en particulier par ransomware - le secteur de la santé constitue un point faible et une proie facile compte-tenu des sous-investissements réalisés depuis des années en matière de cybersécurité. Le plan Macron d'1 milliard d'euros pourrait servir à redresser la barre mais cela n'arrive-t-il pas un peu trop tard ?