En 2021, des laboratoires d'analyses biologiques étaient la cible d'un piratage massif de données médicales. Lequel a touché près de 400.000 patients bretons. Deux ans plus tard, ces données circulent toujours sur internet. Et les victimes, elles, sont exposées à des campagnes de phishing. Explications.
"Je ne clique sur rien. Tout ce que je ne connais pas, ça va à la poubelle !". Depuis que ses informations personnelles ont été piratées, Philippe est envahi de mails, mais aussi de sms et appels téléphoniques.
Ses nom, prénom, date de naissance, adresse postale, adresse mail, numéro de téléphone, numéro de sécurité sociale, informations médicales continuent de circuler sur internet. Comme ceux des 400.000 Bretons victimes d'une fuite de données de santé en 2021, après le hacking qui a visé plusieurs laboratoires français. Dont Océalab, à Vannes, où se trouve le dossier médical de Philippe.
"Rester hyper attentifs"
Dans la foulée de cette affaire, révélée à l'époque par Libération et le blog spécialisé Zataz, le Vannetais a créé un groupe privé sur Facebook, "pour prévenir et apporter des éléments aux personne concernées par ce piratage" explique-t-il. Le groupe est toujours actif car, estime son fondateur, "nous devons rester hyper attentifs et vigilants. L'usurpation d'identité, c'est notre pire cauchemar".
Philippe est devenu plus méfiant et n'en finit pas de s'interroger. "Nos données ont quand même été balancées sur le darknet, ce qui fait de nous une cible idéale pour toutes sortes d'arnaques, dit-il. Ce n'est pas rien. C'est même inquiétant. Comme toute démarche administrative se fait de manière dématérialisée ou presque, que ce soit le renouvellement de nos papiers d'identité, nos déclarations de santé, nous sommes en droit de nous poser des questions sur la sécurisation de nos informations personnelles".
Les données toujours accessibles sur internet
Cette affaire Dedalus, du nom de la société qui commercialise les solutions logicielles pour les laboratoires d'analyses médicales et qui, depuis, a été condamnée à une amende de 1,5 millions d'euros, a "un impact fort en termes de charge émotionnelle, observe Gwenn Feunteun, expert en cybersécurité à Rennes. Parce que les fuites de données médicales entrent dans la sphère de l'intime et qu'un numéro de sécurité sociale, par exemple, est considéré comme un élément sensible par la CNIL, la commission nationale de l'informatique et des libertés".
Le co-fondateur d'Acceis observe que les données piratées dans les laboratoires en 2021 "sont toujours facilement accessibles sur internet". Pas besoin de fouiller le darknet pour les trouver. "Il suffit d'aller sur certains forums" relève Gwenn Feunteun, lequel a repéré les fichiers Dedalus encore tout récemment. "Ça ne finira jamais, alerte-t-il. A partir du moment où les données sont sur internet, elles y restent. Soit sous la forme du fichier initial soit elles sont intégrées à d'autres listes qui elles-mêmes les intègrent à d'autres listes. C'est à l'infini".
Phishing
A quoi sont exposées les victimes de ce piratage massif ? "Un numéro de sécurité sociale, c'est une identification que l'on possède à vie, souligne l'expert en cybersécurité. C'est une porte d'entrée pour les pirates qui vont tenter d'accéder au compte Ameli via une campagne de phishing par mail ou sms, en incitant les gens à cliquer sur un lien pour modifier leur mode de passe. Ce lien renvoie vers un site où le mot de passe est récupéré. Après, le pirate accède à l'espace personnel de chacun, modifie les coordonnées bancaires pour récupérer l'argent des remboursements médicaux".
Les messages envoyés sont ultra-personnalisés puisque les hackeurs disposent d'éléments suffisamment privés pour tromper le destinataire. Exemple : "Depuis votre dernier examen, réalisé à telle date et à tel endroit, nous avons pu constater un défaut sur votre carte vitale, veuillez cliquer sur ce lien". Ou encore : "Votre nouvelle carte vitale est disponible, remplissez ce formulaire afin de rester couvert".
"Sur les 500.000 personnes qui ont subi la fuite de données médicales, je gage qu'un paquet de monde va cliquer sur le lien, estime Gwenn Feunteun. A partir du moment où on met les gens en confiance, où on leur fait croire que le sms est individuel, alors qu'il s'agit d'une attaque en masse déguisée, le risque est réel".