Les pirates informatiques auteurs de l'attaque contre l'hôpital de Corbeil-Essonnes en août ont mis à exécution leurs menaces en divulguant les informations de santé volées, faisant planer un risque de chantage ou d'extorsion sur les personnes concernées.
« Je condamne avec la plus grande fermeté la divulgation inqualifiable de données piratées issues du centre hospitalier de Corbeil-Essonnes », a déclaré le ministre de la Santé François Braun dans un tweet dimanche après-midi»
Je condamne avec la plus grande fermeté la divulgation inqualifiable de données piratées issues du @CHSF91. Nous ne céderons pas face à ces criminels. L’ensemble des services de l’État sont mobilisés aux côtés du Centre hospitalier Sud Francilien de Corbeil-Essonnes.
— François Braun (@FrcsBraun) September 25, 2022
Numéros de Sécu, comptes rendus d'examens, dossiers d'anapath…
Selon les informations fournies dimanche par l'hôpital, les informations divulguées par les pirates via le dark web (les sites internet non référencés par les navigateurs classiques) « semblent concerner nos usagers, notre personnel ainsi que nos partenaires ».
Parmi ces data figurent « certaines données administratives », dont le numéro de Sécurité sociale, mais aussi « certaines données santé telles que des comptes rendus d'examen et en particulier des dossiers externes d'anatomocytopathologie, de radiologie, laboratoires d'analyse, médecins », a poursuivi le centre hospitalier. « L'attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l’espace de stockage du CHSF (environ 10%) », ajoute-t-il.
C'est le blog de cybersécurité Zataz.com, qui avait donné l'alerte, affirmant qu'une « première diffusion (de données) a(vait) été orchestrée sous la forme d'un fichier compacté de 11,7 gigaoctets ». Selon Damien Bancal, l'auteur de ce blog qui a pu consulter le fichier, celui-ci contient des documents aussi variés que des examens médicaux, des recours à la CMU et une autorisation d'internement d'office en service psychiatrique.
D'autres risques d'escroquerie
« Néanmoins, à ce stade de l'analyse des éléments en la possession des services enquêteurs, il n'est pas possible » d'accéder facilement aux données, a précisé à l'AFP le parquet de Paris. Une enquête a été ouverte par le parquet et confiée aux gendarmes du Centre de lutte contre les criminalités numériques (C3N).
Le risque est désormais que des escrocs utilisent les données accessibles pour monter de nouvelles attaques ciblées, en utilisant les informations personnelles à leur disposition pour capter la confiance de la victime. Les attaquants vont par exemple rechercher « des patrons, des personnalités importantes », et monter des arnaques comme « les fraudes au président », où l'escroc arrive à obtenir un virement bancaire d'une institution en se faisant passer pour son dirigeant ou son directeur financier, explique l'expert Damien Bancal.
Les attaquants peuvent aussi utiliser les numéros de téléphone pour monter des arnaques aux comptes personnels de formation (CPF) ou aux cryptomonnaies, les adresses mail pour faire du « hameçonnage » (ou « phishing »), inciter l'internaute à télécharger des fichiers malveillants ou à cliquer sur des liens pour lui extorquer des identifiants et code d'accès. Selon l'entourage du ministre de la Santé François Braun, l'hôpital « est pleinement mobilisé pour informer individuellement les patients ainsi que les membres de son personnel concerné ».
Méfiance en cas de message pressant
Dans ce contexte de fuite de données, l'hôpital de Corbeil-Essonnes a rappelé les mesures de sécurité à suivre. En cas de réception d'un email, SMS ou appel téléphonique demandant telle ou telle action, il faut « vérifier que l’expéditeur est bien légitime et en lien avec le sujet » et surtout « ne jamais fournir d’informations confidentielles (bancaires, mots de passe…) ». Il convient aussi d'« être vigilant si le ton du message est pressant, qu’il vous pousse à l’action, d’autant plus si vous n’attendiez pas ce message », ajoute l'hôpital. Le CH recommande aussi de « vérifier les comptes associés » à un numéro de Sécu et d'en changer les mots de passe « au moindre doute ».
L'hôpital, situé dans l'Essonne, au sud de Paris, assure la couverture sanitaire de près de 700 000 habitants de la grande couronne. Il avait été victime le 21 août d'une cyberattaque avec demande de rançon de 10 millions de dollars, ramenée ensuite à un ou deux millions de dollars, selon les sources. Les établissements publics ne paient jamais les rançons, la loi le leur interdisant.
Deux hôpitaux sur trois endettés, les cliniques en bien meilleure santé
« Tout centraliser et faciliter la prise en charge des patientes » : la maternité des Bluets ouvre un hôpital de jour
Santé de l’enfant
Pédiatrie : une feuille de route qui ne lève pas les doutes
Recherche médicale : les essais décentralisés bousculent l’organisation