Les données personnelles d’environ 1,4 million de personnes, qui ont effectué un test de dépistage de la Covid-19 en Ile-de-France mi-2020, ont été dérobées par des pirates. Elles ont pu être collectées grâce à une faille d'un service de transmission de données géré par l'Assistance Publique-Hôpitaux de Paris.
au sommaire
Des hôpitaux attaqués, le service de prise de rendez-vous Doctolib piraté, des fuites de données médicales et d'énormes brèches de sécurité... Décidément, avec la pandémiepandémie, la sécurité des systèmes informatiques liés au médical est mise à mal et ces infrastructures présentent une cible de choix pour les pirates. Hier, c'est l'Assistance Publique-Hôpitaux de Paris (AP-HPHP) qui a communiqué à propos d'une attaque subie au cours de cet été : une intrusion dans les systèmes de l'organisme qui a conduit au vol d'un fichier comportant les données personnelles de 1,4 million de personnes. Il s'agit de patients localisés en Ile-de-France qui ont effectué un test de dépistagedépistage de la Covid-19Covid-19 à la mi-2020. Les données collectées incluent l'identité, le numéro de sécurité sociale, les coordonnées des personnes testées et celle de leur médecin traitant. En revanche, aucune donnée médicale n'a été dérobée, hormis le résultat du test de dépistage.
Après confirmation, le 12 septembre, de cette attaque, l'organisme de santé explique dans son communiqué, qu'il a porté plainte mercredi auprès du procureur de Paris. Une plainte équivalente a également été déposée par le ministère de la Santé.
Une faille de sécurité sur un service tiers
Encore une fois, il y a eu un maillon faible. Comme dans l'absence de protection des données concernant 700.000 patients également dépistés que Futura a relaté dernièrement, ce sont les vulnérabilités d'un service tiers qui ont permis aux pirates de récupérer les données personnelles. À l'instar de cette affaire, ce n'est toujours pas le fichier national des tests de dépistage (SI-DEP) qui a été visé, mais un service sécurisé de partage de fichiers. Celui-ci aurait été exploité de manière très ponctuelle en septembre 2020 en raison de difficulté rencontrées temporairement avec la plateforme SI-DEP dans la transmission de données. L'outil tiers a donc servi à envoyer à l'Assurance maladie et aux agences régionales de santé (ARS) des informations utiles pour le suivi des cas contactscas contacts. Dans son communiqué, l'AP-HP souligne que les personnes concernées par ce vol de données seront contactées dans les prochains jours.
En mars 2020mars 2020, l'AP-HP avait déjà subi une violente attaque DDoS, mais l'ambition des pirates n'était pas forcément l'objectif final, mais le début d'une longue campagne qui a peut-être permis de collecter ces données.