La fuite a été d'une ampleur inédite. En février 2021, Libération révélait que des hackers avaient volé des milliers de données médicales de 500 000 patients français dont de nombreux Loirétains. L'éditeur de logiciels Dedalus vient d'être condamné pour cette faille de sécurité.
Le régulateur français des données personnelles, la CNIL, a infligé une amende de 1,5 million d'euros à l'éditeur de logiciels Dedalus après une fuite massive de données, parfois sensibles, dans des laboratoires d'analyse médicale, qui avait concerné près de 500.000 personnes.
"Le montant de cette amende a été décidé au regard de la gravité des manquements retenus mais également en prenant en compte le chiffre d'affaires de la société Dedalus Biologie", a indiqué jeudi la Commission nationale informatique et libertés.
Les données accessibles comprenaient "les nom, prénom, numéro de Sécurité sociale, nom du médecin prescripteur, date de l'examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques)", a rappelé la Cnil dans son communiqué.
Dans un communiqué distinct, Dedalus n'a pas cherché à nier les manquements relevés par la Commission et assuré avoir pris "toutes les mesures possibles" pour "identifier d'éventuelles vulnérabilités" dans ses systèmes, et "renforcé" ses procédures pour éviter que les fuites ne se reproduisent. "Plusieurs embauches ont aussi été effectuées dans les équipes" de sécurité informatique et du délégué à la protection des données (DPO), a-t-elle ajouté.La fuite avait été révélée notamment par le quotidien Libération et le blog spécialisé de cybersécurité Zataz en février 2021.Un fichier comportant 491.840 noms circulait librement sur au moins un forum référencé par des moteurs de recherche, avait constaté l'AFP à l'époque. La fuite de données avait concerné 28 laboratoires dans 6 départements des régions Bretagne, Centre-Val-de-Loire et Normandie, selon des informations données à l'époque par Dedalus. Des militaires français, dont des membres des services de renseignement extérieur, avaient été concernés par ce piratage, avait en outre révélé le site spécialisé Intelligence Online. Selon la Cnil, Dedalus s'est rendu coupable de "nombreux manquements techniques et organisationnels en matière de sécurité" dans le cadre "d'opérations de migration" d'un logiciel vers un autre.
"Les données circulent encore"
Parmi les manquements retenus, le régulateur cite "l'absence de chiffrement des données personnelles sur le serveur problématique" et "l'absence d'authentification requise" pour "accéder à la zone publique du serveur" depuis internet.
Elle mentionne également "l'utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur".
A la suite de la révélation de la circulation des données, le tribunal judiciaire de Paris avait ordonné aux grands fournisseurs d'accès à internet français -Orange, Free, SFR et Bouygues- le blocage d'un site sur lequel étaient publiées les données ayant fuité.
Une enquête judiciaire avait également été confiée à la section cybercriminalité du parquet de Paris.
Parmi les dangers auxquels sont exposées les victimes de ce genre de fuite de données figurent les attaques dites de "phishing", où le pirate utilise les données personnelles pour susciter la confiance de la victime et lui extorquer des mots de passe. Selon Damien Bancal, le responsable du blog Zataz, les données volées circulent encore sur le web. "J'ai encore revu la base de données volées il y a quelques semaines", a-t-il expliqué jeudi à l'AFP. "Elle était proposée gratuitement par un groupe de pirates qui l'utilisait pour faire la promotion de leurs propres services", a-t-il indiqué.
Au départ de l'affaire, Damien Bancal avait découvert la fuite sur un groupe Telegram, où un pirate la proposait à la vente. La base de données était disponible sur le site RaidForum, un forum de pirates démantelé récemment par le FBI et Europol.