Le 23 février, à la suite de la publication du blogueur Damien Bancal sur son blog Zataz le 14 février, le journal Libération révélait une fuite d’une ampleur presque inédite : les noms de 491 840 patients français étant passés par des laboratoires d’analyses, avec leurs données de santé (pathologies, traitements médicaux, grossesse, mutuelle, numéro de Sécurité sociale…) compilés dans un fichier mis en ligne gratuitement à plusieurs endroits du web. Les victimes sont principalement des habitants du Nord-Ouest (Bretagne, Loiret, Loir-et-Cher). Le président de la région Normandie Hervé Morin en fait partie. Certains médecins traitants ont plus de 700 patients recensés sur cette base de données. Nous avons cherché à comprendre l’origine, et les conséquences possibles de cette cyberattaque, avec Baptiste Robert, chercheur en cybersécurité.

Un fichier contenant les données de santé de près de 500 000 Français a été révélé, gratuitement, sur internet. Comment en est-on arrivé là ?

C’est le résultat d’un long chemin. Suite à la pandémie de Covid-19, il y a eu un afflux massif de personnes qui sont arrivées dans les laboratoires se faire tester, et qui ont, au passage, fourni leurs données personnelles. Le souci est que des laboratoires n’ayant pas l’habitude de traiter un tel flot d’informations se sont retrouvés assis sur les données personnelles de centaines de milliers de personnes. Sauf que protéger toutes ces données-là est un vrai métier, c’est compliqué, et cela demande de nombreuses barrières de sécurité additionnelles.

Ici, il y a eu une brèche dans ces différentes barrières, on se retrouve avec les données personnelles de 500 000 personnes en libre-accès sur internet.

Est-ce parce que les laboratoires français n’étaient pas assez préparés ? Est-ce une conséquence directe de la pandémie et de la vague de consultations qu’elle a entraînée ?

Pas tout à fait. S’il y a enquête, l’enquête le déterminera, mais il semblerait que la fuite vienne du logiciel d’un éditeur de logiciels pour les laboratoires. Quand vous vous rendez dans un laboratoire, celui-ci va rentrer vos données dans un logiciel. Or, il se trouve que chaque laboratoire ne créé pas son propre logiciel : plusieurs éditeurs de logiciels vendent leurs solutions aux laboratoires. Il semblerait que la fuite vienne de l’un de ces éditeurs de logiciels.

Cela pose forcément la question de la fiabilité de ces organismes à qui les laboratoires sous-traitent leurs données.

Exactement. C’est l’un des problèmes dans la sécurité, que l’on parle de la santé ou d’autres secteurs : les sociétés utilisent parfois les services de compagnies tierces. Et ces sociétés n’ont pas temps d’auditer les sous-traitants pour savoir s’ils sont en bonne santé financière, si certains employés sont malveillants, s’ils ont de bonnes pratiques de sécurité, comment ils stockent des données de travail confidentielles : leurs systèmes de sécurité sont-ils bien sécurisés ? Les données ne vont-elles pas être exfiltrées par des acteurs malveillants ? Ce sont de vraies questions, et aujourd’hui, pour beaucoup, voire même quasiment toutes les sociétés, c’est un gros problème. Elles ont toujours beaucoup de choses à faire, à tous les niveaux, et rarement le temps d’évaluer ces sous-traitants. C’est pour cela qu’aujourd’hui des entreprises se mettent sur ce créneau, pour permettre aux entreprises d’auditer les différents services qu’ils utilisent.

Le problème ne vient-il pas aussi du fait que les laboratoires se sont dit : "Jusque-là tout va bien, inutile de perdre du temps à auditer ces sociétés puisque nous n’avons pas eu de problème à ce jour ?"

C’est un point à souligner : la cybercriminalité s’organise, se professionnalise. Il existe aujourd’hui des gens qui se lèvent le matin, s’assoient à leur bureau, et au lieu de travailler comme tout le monde, font quelque chose de malveillant : voler de la donnée, pirater des sites internet… C’est leur travail. C’est effectivement une nouvelle menace, plus organisée, donc plus efficace, de fait. En tant que défenseurs de la sécurité, nous devons mettre de nouvelles barrières en place puisqu’en face, ils s’améliorent sans cesse.

Concrètement, à quoi sert de connaître les données de santé de ces 500 000 patients ? En quoi cela peut-il être dangereux ?

Une des premières manières d’utiliser ces données est de cibler les victimes pour une campagne de phishing [hameçonnage, ndlr]. Le phishing consiste à vous envoyer un email avec un lien frauduleux, en espérant que vous cliquiez sur ce lien. Si le pirate vous envoie un email générique disant "Vous n’avez pas payé vos impôts", alors que vous savez que vous les avez payés, cela risque de ne pas fonctionner. En revanche, avec vos données de santé, le pirate peut vous dire : "Bonjour, madame Untel", avec votre vrai nom, "Vous êtes allée dans telle clinique à tel moment pour un suivi de grossesse sachant que vous en êtes à trois mois ; il y a un problème dans votre dossier, veuillez cliquer sur ce lien". Là, il y a beaucoup plus de chances que cela marche, puisque cet email est extrêmement personnalisé. La chance que la victime clique est beaucoup plus grande, surtout lorsqu’il s’agit de données aussi personnelles que la santé.

Les 500 000 "fiches patient" ont été diffusées gratuitement à plusieurs endroits du web. Quelle est la stratégie des pirates ? A quoi doit-on s’attendre ?

Tout cela n’engage que moi et il est difficile de prédire l’avenir. Ce qui est sûr, c’est que cette publication de données personnelles est rare, pour ne pas dire quasiment inédite en France. Pour ma part, je n’ai jamais vu un volume aussi grand de données fuiter sur un sujet aussi personnel que la santé. Il faut déjà le souligner : cette publication est très rare.

Le deuxième point est que cette publication a été faite gratuitement, ce qui est extrêmement étonnant. Elle a été faite gratuitement sur des places de marché où le but du jeu est de faire de l’argent, de vendre et d’acheter des bases de données. C’est très étrange qu’un pirate publie des données aussi personnelles, donc en théorie chères, et le fasse gratuitement. Il existe donc un motif derrière : soit de la vengeance, peut-être une dispute entre pirates. Les "hackers" ont-ils d’autres données ? Est-ce qu’ils publieront la suite ? Peut-être, peut-être pas. Ce qui est sûr, c’est qu’aujourd’hui, ils ne sont plus sous le radar. Le fait d’avoir publié cette première partie les a mis sur le devant de la scène. Forcément, les autorités vont faire leur travail et essayer de les retrouver.