Les données de santé d'un demi-million de Français ont fuité. Dans l'Eure, 94 000 personnes sont touchées. Les personnes concernées seront prévenues personnellement. Le parquet de Paris a ouvert une enquête.
C'est une fuite d'une ampleur inédite en France. Les coordonnées de près de 500 000 Français se retrouvent dans la nature, avec parfois des données médicales sensibles. 491 840 noms précisément, dont près de 100 000 rien que dans l'Eure. Une information révélée par nos confrères du service CheckNews de Libération mardi 22 février. Une enquête judiciaire est ouverte.
Un Eurois sur 10 concerné
Selon nos confrères de Paris Normandie, dans l'Eure, 94 000 personnes sont touchées par la fuite, soit près d'un habitant sur 10. Il s'agit du troisième département le plus touché.
La Cnil (Commission nationale de l'informatique et des libertés), qui procède actuellement à des contrôles pour constater officiellement la mise à disposition du fichier, indique que les personnes concernées seront prévenues personnellement.
? Notifier une violation de #DonnéesPersonnelles ➡ https://t.co/ey6O7hDTqa
— CNIL (@CNIL) February 24, 2021
? Professionnels | Les recommandations de la CNIL pour sécuriser les données personnelles ➡ https://t.co/36itgqwNEW
En cas d'inquiétudes, l'association France Asso Santé propose d'aider les personnes concernées au 01 53 62 40 30 (lundi, mercredi, vendredi 14h-18h / mardi et jeudi 14h-20h).
Quelle est l'ampleur de la fuite?
Le blog spécialisé sur la cybersécurité Zataz a repéré et dévoilé le 14 février l'existence d'un fichier comportant les données personnelles et privées de près de 500.000 patients français sur un groupe de la messagerie Telegram, faisant office de "marché noir" dédié à la revente de bases de données volées.
Mardi soir, à la suite d'une enquête du quotidien Libération, l'AFP a pu vérifier qu'un tel fichier circulait librement sur au moins un forum référencé par des moteurs de recherche.
Selon l'auteur de l'article de Zataz, Damien Bancal, le fichier serait désormais disponible en sept emplacements différents sur internet. Il aurait été mis en ligne gratuitement (et donc privé de sa valeur marchande) par l'un des pirates à la suite d'une dispute.
Il comporte précisément 491.840 noms, associés à des coordonnées (adresse postale, téléphone, email) et un numéro d'immatriculation à la sécurité sociale.
Surtout, ces noms sont parfois accompagnés d'indications sur le groupe sanguin, le médecin ou la mutuelle, ou encore de commentaires sur l'état de santé (dont une éventuelle grossesse ou une stérilité), des traitements médicamenteux, des pathologies (notamment le VIH).
"Les constatations préliminaires semblent indiquer qu'il s'agit effectivement d'une violation de données d'une ampleur et d'une gravité particulièrement importante, et laissent à penser que les données proviendraient de laboratoires d'analyse médicale", a établi la Cnil dans un billet de blog, quelques heures après avoir lancé ses contrôles.
"On est très, très au-delà" de l'ampleur des violations de données signalées couramment à la Cnil, a indiqué à l'AFP le secrétaire général de la Commission, Louis Dutheillet de Lamothe.
D'où vient la fuite ?
Selon nos confrères de Libération qui ont enquêté sur le sujet, les données proviennent d'une trentaine de laboratoires de biologie médicale, situés pour l'essentiel dans le quart nord-ouest de la France (Morbihan, Eure, Loiret, Côtes-d'Armor, et dans une moindre mesure Loir-et-Cher). Elles correspondent selon le journal à des prélèvements effectués entre 2015 et octobre 2020, une période qui coïncide pour les laboratoires interrogés avec l'utilisation d'un même logiciel de saisie de renseignements médico-administratifs, édité par le groupe Dedalus.
"La fuite de données est en cours d'investigation par l'Agence nationale de la sécurité des systèmes d'information (Anssi), le Ministère des Solidarités et de la Santé, en lien avec la Cnil et l'éditeur de logiciel, dont il est suspecté que des anciennes installations de sa solution de gestion de laboratoire soient impliquées", a indiqué mercredi soir à l'AFP la Direction générale de la santé, sans donner le nom de cet éditeur.
L'Anssi avait auparavant déclaré à l'AFP avoir identifié l'"origine" de la fuite des données de santé, et l'avoir signalée au Ministère des Solidarités et de la Santé en novembre 2020.
Quels recours pour les victimes?
Selon le journaliste Damien Bancal, les pirates ne sont pas forcément intéressés par l'aspect médical de ce fichier. "Pour eux, c'est juste un fichier parmi d'autres qui va finir découpé en petites bases de données", explique-t-il à l'AFP. Les coordonnées sont ensuite susceptibles d'être utilisées par des groupes cybercriminels pour des campagnes de hameçonnage, l'envoi de rançongiciels ou à des fins de publicité ciblée. "Les personnes dont les noms sont présents dans la base subissent un préjudice", affirme à l'AFP l'avocat spécialiste du numérique Bernard Lamon. Pourtant, selon lui, les suites judiciaires pourraient rester limitées.
Les gens ont probablement la possibilité d'aller réclamer des dommages et intérêts, mais le système français est fait pour qu'il y ait des sanctions administratives. Il n'y aura pas a priori de réparation individuelle.
Une procédure de déréférencement est prévue en cas d'indexation du contenu de la base par un moteur de recherche. Concernant l'utilisation des informations médicales, par une compagnie d'assurance par exemple, "ce serait illégal et extrêmement risqué", estime l'avocat.
Mais pour l'instant, l'essentiel des victimes ne sont pas au courant de leur présence dans le fichier. "S'il existe un risque élevé pour les droits et libertés des personnes physiques, les entreprises [responsables de la fuite] doivent [les en] notifier individuellement", rappelle la Cnil.
Une enquête judiciaire est ouverte
La section cybercriminalité du parquet de Paris a ouvert mercredi une enquête après la fuite sur internet de ces informations. L'enquête, confiée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), a été ouverte du chef d'"accès et maintien frauduleux dans un système de traitement automatisé de données" et "extraction, détention et transmission frauduleuse" de ces données, a précisé le parquet.
Le président Emmanuel Macron a présenté le 18 février un plan d'un milliard d'euros destiné à renforcer leur cybersécurité.