Retour sur la récente fuite de données concernant 500 000 patients français

Tentons un modeste débroussaillage de la situation. Le 14 février, Damien Bancal annonçait sur Zataz, la vente d’une base de données « de santé » de près de 500 000 patients français [1]. Le 23 février, information reprise par La Dépêche [2], le quotidien Libération [3] annonçait que cette fameuse base de données dérobée à des laboratoires de biologie médicale principalement situés dans le quart nord ouest de la France, avait été rendue publique suite à une dispute entre pirates sur un groupe Telegram spécialisé dans l’échange de bases de données volées.
Dans la foulée, un cabinet de conseil en sécurité de la région concernée par ce « leak », probablement inspiré par le chercheur Troy Hunt et son célèbre service Have I Been Pwned [4], proposait un moteur de recherche permettant de savoir, à partir de son NIR, si ses données étaient présentes dans cette fuite de données :

Si la démarche qui ne me parait pas spécialement malhonnête, est un peu « borderline » sur le plan juridique, le cabinet annonce ne stocker que les condensats (au format sha256) des numéros de sécurité sociale et ne conserver aucune trace sur les utilisateurs ayant fait des recherches sur le site, qui ne présent aucun traqueur, cookie ou contenu tiers. Après, de là à dire que le serveur nginx n’enregistre aucune trace ou que l’hébergeur du site en question ne supervise pas les flux vers cette machine de son réseau, rien n’est moins sûr.

Le 26 février, le groupe Dedalus, éditeur du logiciel utilisé par le groupe de laboratoires dont la base de données a fuitée, indiquait dans un communiqué de presse avoir permis aux autorités, d’identifier les 28 laboratoires concernés [5], répartis dans six départements (22, 27, 35, 41, 45, 56).

En ce lundi 1^er mars, la CNIL [6] s’exprimait sur le sujet en indiquant tout d’abord que les laboratoires avaient notifié la Commission et indiqué qu’ils allaient rapidement contacter les personnes concernées. La CNIL rappelle également qu’elle ne peut pas informer les victimes et recommande de ne pas utiliser les services tiers proposés pour rechercher si ses données apparaissent dans cette importante fuite de données.

Si l’enquête est toujours en cours aujourd’hui, essayons d’en tirer quelques enseignements.
Sans trop vouloir m’avancer, le fichier ressemble à un gros export d’une base de données à vocation plutôt administrative. Pour qu’il concerne autant de laboratoires, ont peut penser qu’il s’agit d’un groupement ou qu’ils aient tous choisi un hébergement mutualisé chez le même prestataire. Si c’est le cas, espérons pour lui qu’il soit HDS, vu les informations qui se trouvent dans la base. La question est qui a fait le « dump » de la base ? Un attaquant qui aurait infiltré le SIL ou un administrateur qui aurait fait une « mauvaise manipulation » ?

Au delà de ça, le contenu de la base soulève d’autres questions. Des champs « commentaires » dans lesquels sont indiquées des mentions telles que : « VIH », « Invalidité », « retour de Guyane », « épouse enceinte », « Previscan », « Covid », « Refus tiers payant », identifiant et mot de passe, j’en passe et des meilleures… met une fois de plus en évidence un manque de sensibilité des professionnels de notre secteur (au sens large) dans le domaine de la protection des données de santé à caractère personnel.
Quand dans le champ adresse de courriel du médecin on retrouve pour certains des adresses en mssante.fr et pour d’autres docteurpouetpouet chez wanadoo.fr ou yahoo.com, là aussi, je pense qu’il y a encore un travail d’évangélisation à faire.
On a parlé des patients, mais ils ne sont pas les seuls concernés par cette fuite de données. Les professionnels de santé eux aussi sont impactés, médecins, sages femmes, préleveurs, eux aussi sont dans la base… Ne les oublions pas, car si les patients peuvent être victimes d’escroqueries en tout genre, les professionnels de santé, eux aussi pourraient bien être visés...

[1] https://www.zataz.com/plus-de-400-000-donnees-de-patients-francais-vendus-dans-le-blackmarket/

[2] https://www.ladepeche.fr/2021/02/23/cybersecurite-les-donnees-confidentielles-de-500-000-francais-piratees-et-diffusees-en-ligne-9390348.php

[3] https://www.liberation.fr/checknews/les-informations-confidentielles-de-500-000-patients-francais-derobees-a-des-laboratoires-medicaux-et-diffusees-en-ligne-20210223_VO6W6J6IUVATZD4VOVNDLTDZBU/

[4] https://haveibeenpwned.com/

[5] https://www.dedalus-france.fr/wp-content/uploads/2021/02/21.02.26_CP-Dedalus-France-confirme-investiguer-sur-un-grave-acte-de-cybercriminalit%C3%A9-et-a-identifi%C3%A9-et-pr%C3%A9venu-les-laboratoires-concern%C3%A9s.pdf

[6] https://www.cnil.fr/fr/fuite-massive-de-donnees-de-sante-comment-savoir-si-elle-vous-concerne-et-que-pouvez-vous-faire