Les données personnelles d'environ 1,4 million de personnes...

Pour savoir tout ce qu'il se passe sur la toile
Répondre
Avatar du membre
chtimi054
Administrateur du site
Administrateur du site
Messages : 20213
Enregistré le : ven. 26 juil. 2013 06:56
    Windows 10 Firefox
A remercié : 21 fois
A été remercié : 66 fois

Les données personnelles d'environ 1,4 million de personnes...

Message par chtimi054 »

Les données personnelles d'environ 1,4 million de personnes, qui ont effectué un test de dépistage de la Covid-19 en Ile-de-France mi-2020, ont été dérobées
« à la suite d'une attaque informatique »

Les données personnelles d'environ un million et demi de personnes dépistées contre la Covid-19 en Île-de-France mi-2020 ont été dérobées par des hackers. Ceux-ci auraient exploité des vulnérabilités dans un outil utilisé par l’Assistance publique-Hôpitaux de Paris (AP-HP), utilisé comme passerelle entre les laboratoires et l'Assurance Maladie. Encore une fuite de données de santé. Mercredi 15 septembre 2021, l’Assistance publique – Hôpitaux de Paris, a annoncé dans un communiqué qu’elle a subi un incident de sécurité « au cours de l’été », incident qu’elle n’a pu confirmer que le 12 septembre. Donc, si vous avez réalisé un test de dépistage de la Covid-19 en Île-de-France mi-2020, votre numéro de sécurité sociale et vos coordonnées sont peut-être en de mauvaises mains. Cet incident est la deuxième fuite liée aux tests covid en l’espace de deux semaines. Le 31 août, Mediapart avait été prévenu d’un défaut de sécurité sur le site de Francetest, un intermédiaire entre les pharmacies et la plateforme du gouvernement, qui exposait les données personnelles de 700 000 personnes testées.
Image L'AP-HP, qui accueille chaque année plus de 8 millions de patients en région Île-de-France et regroupe 39 hôpitaux, a signalé les faits à la Commission nationale de l'informatique et des libertés (Cnil) et à l'Agence nationale de sécurité des systèmes d'information (Anssi). L'AP-HP et le ministère de la Santé ont déposé deux plaintes distinctes. Une enquête a été ouverte.
Des hackers ont réussi à voler « Au cours de l’été… des fichiers contenant des données nominatives », d’après l’AP-HP. L’organisation utilise le terme d’« attaque informatique », afin de signifier que pour accéder aux données, les malfaiteurs auraient exploité des vulnérabilités logicielles. Ce détail est important pour évaluer d’éventuels manquements de l’AP-HP à ses obligations de sécurité, car de nombreuses fuites sont simplement liées à une mauvaise sécurisation des bases de données. L’AP-HP précise que les pirates ont ciblé un « service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP, qui lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe ». Interrogé sur le sujet, l’AP-HP n’a pas précisé qui avait développé l’outil. Mais en précisant qu’il est « hébergé sur ses propres infrastructures techniques », elle rappelle qu’elle contrôlait sa sécurité.

Ce logiciel était utilisé en complément du SI-DEP, le système d’information national de dépistage qui sert à centraliser et à certifier les tests, lui-même géré par l’AP-HP (mais épargné par l’attaque). Concrètement, il sert à transmettre les résultats produits par les laboratoires vers l’Assurance Maladie et les agences régionales de santé, pour le suivi du traçage des contacts. Courant août 2021, le SI-DEP a accusé une panne dans ses outils de transmission, ce qui empêchait les patients d’obtenir le QR Code qui faisait office de pass sanitaire. Le fichier avait déjà eu des problèmes en 2020 d’après l’AP-HP, et c’est à ce moment que le programme piraté aurait été utilisé.

Quelles informations sont concernées et quel est le risque pour les personnes concernées ?

L'incident a exposé les données personnelles d'environ 1,4 million de personnes. Il s'agit presque exclusivement de patients qui ont réalisé des tests mi-2020 en Île-de-France, soit entre la fin du printemps et la fin de l'été. Les informations compromises incluent :

l’identité du patient testé ;
son numéro de sécurité sociale ;
ses coordonnées. L’AP HP ne donne pas le détail, mais le terme peut désigner l’adresse du domicile, l’adresse email et le numéro de téléphone de la victime, généralement demandés lors d’un test ;
l’identité et les coordonnées du professionnel de santé qui a effectué le test ;
le type de test effectué ;
le résultat du test. Cette dernière information donne une tout autre ampleur à l’incident, puisqu’il s’agit d’une donnée de santé, considérée comme « donnée sensible » au regard du droit.



« Il y a de fortes chances que les données apparaissent sur le dark web pour être revendues. Les acheteurs ne s'intéressent pas au fait que la personne soit positive ou négative. Par contre, un numéro de sécurité sociale, c'est comme numéro de carte bancaire, c'est très confidentiel et ça peut coûter très cher », explique Matthieu Dierick, expert en sécurité des applications chez F5.

En possession d'un numéro de sécurité sociale, d'une identité et d'une date de naissance, des cybercriminels peuvent falsifier des documents pour générer de nouvelles cartes vitales ou contracter des crédits à la consommation. Mais les victimes courent surtout le risque de faire l'objet de tentatives de phishing très ciblées. « Les personnes figurant dans le fichier peuvent s'attendre à recevoir un mail disant que leur test effectué le 15 août dans un laboratoire de Marcoussis nécessite qu'elles se connectent et créent un compte pour récupérer des informations additionnelles », observe le spécialiste. Les pirates n'auront plus qu'à récupérer les mails et les mots de passe renseignés pour les réutiliser sur d'autres sites et revendre les combinaisons gagnantes. L'APHP a indiqué mercredi que les personnes concernées par le vol de données seront informées individuellement dans les prochains jours, comme la loi le prévoit lorsqu'une violation de données est susceptible d'engendrer un risque élevé pour les droits et les libertés, ce qui est le cas des données de santé, particulièrement sensibles et divulguées en nombre important ici.

Le domaine de la santé dans le viseur des pirates

Ce nouvel incident intervient deux semaines après la découverte par Mediapart que des centaines de milliers de résultats de tests antigéniques étaient restés accessibles durant plusieurs semaines sur le site d'un prestataire de pharmacies non homologué par les autorités sanitaires coupable d'une série de négligences. la Cnil indique qu'à ce jour, les corrections ont été apportées par la plateforme et que les données ne sont plus librement accessibles. La société responsable du site a informé les personnes concernées le 30 août. Mais les investigations se poursuivent pour vérifier si des tiers ont pu accéder aux données. En début d’année, un fichier de données de santé concernant un peu plus de 500 000 citoyens français avait déjà été diffusé librement sur Internet après une faille informatique d'un prestataire de laboratoires médicaux. Et des dizaines d'hôpitaux ont fait les frais d'attaques de logiciels malveillants qui ont parfois paralysé leur activité pendant plusieurs semaines.

Et maintenant ?

L’enquête pourrait révéler de nouveaux détails sur l’incident dans les semaines à venir, car « les investigations se poursuivent », précise l’AP-HP. l’Anssi et la Cnil sont les deux organisations compétentes sur le sujet. L’enquête a deux principaux objectifs : Comprendre le mode opératoire et la nature des vulnérabilités exploitées. Cela pourrait aider à mieux cerner quel type de hacker a pu commettre l’attaque. Découvrir le détail technique de la cyberattaque pourrait aussi aider d’autres organisations à se protéger contre des attaques similaires. Et remonter l’origine de l’attaque, même s’il est probable que l’auteur de l’attaque ne soit jamais identifié.

merci à Developpez.com
Image
Répondre