Vol en ligne à l'AP-HP : ce que font les pirates de vos données médicales

Des attaques qui n'en finissent pas. Après la fuite de données de santé de laboratoires d'analyses en février, une cyberattaque ciblant l'hôpital de Saint-Gaudens en avril, ou bien celui d'Arles en août, les structures médicales sont de plus en plus la cible des pirates informatiques. Ce 15 septembre, l'Assistance publique-Hôpitaux de Paris (AP-HP) a annoncé avoir été victime d'une attaque au coeur de l'été. Les pirates ont dérobé un fichier lié à 1,4 million de personnes ayant réalisé un test de dépistage du Covid-19 l'année passée. Ces dernières seront "informées individuellement dans les prochains jours", a précisé l'AP-HP dans un communiqué.

Au coeur de l'attaque, un "fichier sécurisé de partage de fichiers", employé "de manière très ponctuelle en septembre 2020" dans le but de transmettre à l'Assurance maladie et aux agences régionales de santé (ARS) des informations en rapport avec le "contact tracing". Ces informations comprennent "l'identité, le numéro de Sécurité sociale et les coordonnées des personnes testées", et "l'identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé". Si ces données n'incluent "aucune autre donnée médicale", leur vol interroge sur la vulnérabilité des hôpitaux à de telles attaques.

Elles se multiplient ces dernières années : rien qu'en 2020, les établissements de santé ont été la cible de 27 attaques informatiques. "D'abord parce qu'ils ont considérablement augmenté leur surface numérique, note Vincent Trely, président fondateur de l'association pour la promotion de la sécurité et des systèmes d'information de santé (APSSIS). Tout ou presque est numérisé. Or, si des progrès ont été faits, les établissements de santé ont toujours des faiblesses du côté de leur sécurité. Ensuite, parce que la santé est un monde où les données doivent être partagées, où des passerelles sont organisées pour les transmettre, qui sont attaquables". Ce n'est pas non plus la première fois que des données de dépistage liées au Covid-19 sont volées par des pirates. Il y a quelques semaines, une faille de la plateforme Francetest avait permis à des hackeurs de substituer 700 000 résultats et données personnelles, cette fois liées à des tests antigéniques réalisés en pharmacie.

Les informations en question intéressent en effet beaucoup les pirates informatiques, car elles se monnaient. En premier lieu auprès des établissements qu'ils attaquent : les pirates peuvent faire une demande de rançon en échange de la non-publication des documents volés. "Mais en France, la doctrine est de ne jamais payer", signale Vincent Trely. En cas de piratage, les structures doivent avant tout prévenir l'agence nationale de la sécurité des systèmes d'information (Anssi) qui recommande de ne pas débourser un centime. "Son paiement ne garantit pas l'obtention d'un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. De plus, explique-t-elle dans un document de recommandation, le paiement de la rançon n'empêchera pas votre entité d'être à nouveau la cible de cybercriminels."

Faute de percevoir des fonds des établissements attaqués, les pirates peuvent aussi choisir de s'en prendre directement aux particuliers. En décembre, en Finlande, des escrocs ont ainsi exigé une rançon de près de 600 000 euros à une clinique psychiatrique, mais ont aussi fait chanter certains patients. "Mais les informations relevées étaient particulièrement sensibles, relève Vincent Trely. Outre le nom et l'adresse, il y avait aussi des notes de psychiatres et leurs diagnostics. De quoi embarrasser bien davantage qu'une adresse mail." Dans le cas de l'AP-HP, difficile d'imaginer les pirates informatiques appeler un à un les victimes de leur vol pour les faire chanter. Surtout quand un marché bien plus juteux les attend ailleurs.

"Les données volées peuvent être revendues à prix d'or sur le dark web, à des tarifs qui tournent autour de 250 à 300 dollars le set de données de santé par personne", fait remarquer Nathalie Martial-Bartz, professeure en droit privé et responsable du master protection des données personnelles à l'université de Paris. Les données personnelles - nom, adresse, numéro de téléphone - de 500 000 Français se sont ainsi retrouvées sur le darknet en février. L'exemple était inédit, car le fichier en question contenait, outre le numéro de téléphone ou l'adresse des patients concernés, des informations très intimes, comme leur groupe sanguin. Mais cette affaire est loin d'être unique : en France, la valeur totale de ce commerce est estimée à six milliards d'euros. "Ces informations peuvent intéresser d'autres pirates, des gouvernements, des assureurs, des sociétés mutualistes... liste Vincent Trely. L'intérêt n'est pas tellement chaque dossier en soi, mais la masse. Ici, en l'occurrence, avoir près d'un million et demi de personnes peut être intéressant pour faire des statistiques, par exemple."

Ces données peuvent aussi attiser l'intérêt d'autres personnes. Parmi eux, des spécialistes du phishing personnalisé, ou hameçonnage, une technique visant à récupérer les coordonnées personnelles ou bancaires de quelqu'un en lui envoyant des messages trompeurs. La fuite des données de santé de l'AP-HP est particulièrement sensible à ce type d'attaque, en raison de la nature des informations concernées. Car un patient est souvent moins méfiant face à un message qui comprend son propre numéro de sécurité sociale... Des escrocs ont ici de quoi se faire passer pour un médecin, un laboratoire ou un établissement de santé. En août, l'Assurance maladie a d'ailleurs une nouvelle fois prévenu ses assurés du risque présenté par les appels téléphoniques, les mails et les SMS frauduleux.

Autre risque : avec l'aide des coordonnées des patients et toujours de leur numéro de sécurité sociale, des pirates ont ici la possibilité de réaliser des usurpations d'identité sur Internet. Avec ces informations, ils ont la possibilité de demander un extrait de casier judiciaire. Pratique pour s'inscrire sur des plateformes ou services, monter un dossier de crédit... En bref, mener une vie parallèle avec un nom d'emprunt.

Face à ce vol, le ministère de la Santé et l'AP-HP ont décidé de porter plainte. Des investigations "se poursuivent pour déterminer l'origine et le mode opératoire de cette attaque", a précisé l'institution dans un communiqué. Entre-temps, l'AP-HP a coupé les accès à "l'outil numérique" sur lequel se trouvaient les données médicales. Reste donc à savoir où se situe la responsabilité de cette disparition.

"L'AP-HP pourrait par exemple être sanctionnée, mais uniquement si les mesures nécessaires n'ont pas été mises en place pour sécuriser les données, note Thibault Douville, professeur en droit privé et sciences criminelles à l'université de Caen-Normandie. Ou bien il sera possible d'agir s'il y a un manquement du côté du responsable du logiciel." Dans ce type d'infraction à la protection des données, la loi européenne et française prévoit des sanctions pouvant s'élever jusqu'à 4% du chiffre d'affaires de l'entité jugée responsable et une peine d'emprisonnement potentielle de 5 ans, ainsi que 300 000 euros d'amende.