Les données d’un demi-million de patients ont été volées, piratées et mises en ligne. À qui la faute, et quelles peuvent être les conséquences ?

De nombreuses données personnelles

Ce fichier est désormais présent un peu partout sur ce que l’on appelle le darknet, là où tout s’échange et se vend en ligne en toute illégalité et opacité. Ce qu’il contient : des données collectées par des laboratoires d’analyse médicale entre 2015 et 2020 et concernant pas moins de 500.000 patients français. Une fuite d’ampleur apparemment imputable à un défaut de mise à jour sur un logiciel utilisé par ces laboratoires.

S’il ne s’agit pas en soi des dossiers médicaux complets des patients, ces bases de données volées contiennent tout de même de nombreuses données personnelles sensibles, parfois des informations et commentaires sur leur état de santé, mais aussi leur groupe sanguin, leur numéro de sécurité sociale, leur adresse e-mail ou leur numéro de téléphone portable. Autant d’éléments en principe protégés, et qui pourtant ont pu être dérobés.

Une trentaine de laboratoires de biologie médicale

Comment cela a-t-il pu arriver ? La CNIL, Commission Nationale Informatique et Libertés, a décidé d’ouvrir une enquête pour le savoir et établir les responsabilités après cette fuite massive de données. Il faut dire que l’affaire est grave, tant du fait du caractère sensible des données que du nombre de victimes. D’autant plus que, contrairement aux règles en vigueur, la Cnil n’a pas été informée dans les 72 heures de cette violation de données par les entreprises concernées, contrairement à ce que prévoit le RGPD, règlement européen sur la protection des données. L’Agence nationale de la sécurité des systèmes d’informations (Anssi) avait pourtant signalé cette fuite des données de santé dès novembre 2020 au ministère des Solidarités et de la Santé.

Ces données proviendraient au total d’une trentaine de laboratoires de biologie médicale, pour la plupart dans le quart nord-ouest de la France, principalement en Côtes-d’Armor, Loiret, Loir-et-Cher et Morbihan. Apparemment, tous ces laboratoires utilisaient le même logiciel de saisie de données, signé Dedalus France. Pour autant et pour l’instant, l’origine exacte de la faille reste non identifiée. En attendant, la trentaine de laboratoires concernés par ces fuites doivent prendre contact avec les patients concernés dans les jours à venir.

Des victimes qui seront la cible des pirates

Comment savoir si l’on est concerné par cette fuite ? La société rennaise Acceis vient de créer un site dédié permettant de savoir immédiatement si ses données médicales figurent sur cette base de données piratée. Il vous suffit de saisir votre numéro de sécurité sociale pour le savoir immédiatement. Il faut dire que le fait de voir ses informations personnelles ouvre la voie à de nombreux dangers, à commencer par des campagnes de phishing (hameçonnage) ciblées.

En effet, les pirates en ligne, les cybercriminels ont la certitude, du fait de la source du fichier, de disposer des vrais numéros de téléphone et vraies adresses e-mail des victimes. Gare au demande de mots de passe et autres informations bancaires dans les mois à venir, mais aussi, plus grave encore, des risques d’usurpation d’identité et même de création de fausses cartes vitales,  grâce au numéro de sécurité sociale et aux données personnelles contenues dans le fichier.