Séropositivité, cancer, maladies génétiques, grossesse, numéro de sécurité sociale... En février 2021, une immense fuite de données médicales avait touché 500.000 patients français qui s'étaient rendus dans les mêmes laboratoires médicaux. Un internaute avait alors mis en ligne sur un site web une base de données contenant toutes les informations personnelles des malades. La Cnil, chargé de gérer les données des Français vivant en France, vient d'infliger une amende de 1,5 million d'euros à la société Dedalus Biologie, qui avait édité les logiciels informatiques spécialisés dans le domaine médical.
La décision de la Cnil s'accompagne d'un texte publié le 21 avril 2022, qui revient dans les détails sur les nombreux manquements de la société Dedalus. D'après son enquête, Dedalus aurait commis de graves manquements au Règlement général sur la protection des données (RGPD), le texte qui protège et règlemente les données personnelles en Europe. Parmi les irrégularités en matière de sécurité, la Cnil cite l'absence de chiffrement de certaines données, qui n'étaient donc pas protégées par une clé de chiffrement et rendues illisibles pour les personnes extérieures. Dedalus n'a également pas mis en place de demandes d'authentification pour avoir accès aux informations stockées sur le logiciel ni établi d'effacement automatique des données après leur migration d'un endroit de stockage à un autre. "Cette absence de mesures de sécurité satisfaisantes est l'une des causes de la violation de données qui a compromis les données médico-administratives de près de 500.000 personnes ", explique la Cnil, qui a choisi de rendre publique la sanction au vu de l'ampleur de l'affaire.
Le risque : chantage, menaces, ouverture de faux comptes
Le parquet de Paris a, lui, ouvert une enquête pour retrouver les auteurs du piratage et de la mise en ligne des données. Ces dernières sont très prisées sur le dark web. "Les données médicales de patients ont une valeur importante. On estime qu'une seule donnée de patient à la revente vaut environ 250 dollars", expliquait à l'époque de la révélation de l'affaire à Sciences et Avenir Stéphane Duguin, président du Cyberpeace Institute, une ONG qui défend la "cyberpaix" et propose des solutions d'assistance aux victimes. Qui rachète ces données de santé sur Internet en temps normal ? "La vente se fait à n'importe quel groupe criminel qui utilise ces données de phishing, comme pour ouvrir de faux comptes. Ils peuvent également faire du chantage, menacer de publier ces informations confidentielles relatives à leur santé et se faire payer pour garder le silence." Le spécialiste précise que ce n'est pas parce qu'il s'agit de données intimes que les cybercriminels font preuve de plus de souplesse. "Ces cyberpirates n'ont pas d'éthique. Le groupe Maze [un groupement de cyberpirates connu, ndlr] par exemple avait déclaré qu'il n'attaquerait jamais des hôpitaux mais l'a fait quand même."
Une dispute entre cybercriminels
Cette fois, les 500.000 dossiers de patients n'ont pas été revendus sur le dark net mais ont simplement été rendus publics. Quel est l'intérêt pour des cybercriminels de publier une telle liste sur Internet ? Il n'y en a pas vraiment. "Cette publication a été faite gratuitement, ce qui est extrêmement étonnant", estimait le spécialiste de sécurité informatique Baptiste Robert sur France Culture. "Elle a été faite gratuitement sur des places de marché où le but du jeu est de faire de l’argent, de vendre et d’acheter des bases de données. C’est très étrange qu’un pirate publie des données aussi personnelles, donc en théorie chères, et le fasse gratuitement." Selon Damien Bancal, le journaliste spécialisé qui a identifié la fuite et publié à ce propos sur son blog Zataz, le fichier était l'objet d'une négociation commerciale entre plusieurs cyberpirates. Ces derniers échangeaient sur un groupe spécialisé dans la revente de données sur l'application de smartphone chiffrée Telegram. A la suite d'une dispute au sein du groupe, l'un des cybercriminels aurait décidé de publier les données sur Internet, ce qui lui a fait perdre toute valeur marchande. Les 500.000 patients, ont, eux, dû tirer un trait sur le secret médical et sur la confidentialité de leurs données.
