Fuite de données : 500 000 dossiers médicaux français dans la nature…

Une fuite de données supplémentaire ! Cette fois-ci, il s'agit de 500 000 dossiers médicaux français en provenance d'une trentaine de laboratoires d'analyses médicales du nord-ouest de la France.

C'est notre confrère de chez Zataz, Damien Bancal, spécialiste en cybersécurité, qui a repéré ce fichier sur un groupe Telegram. Un véritable marché à la base de données s'est développé sur cette solution de messagerie où l'on peut retrouver cette base qui contient 491 840 noms de citoyens français. Le pire c'est que cette base de données semble circuler librement... Du coup, elle se retrouve au moins à 7 endroits différents.

Pour chacune des personnes présentes dans le fichier, on retrouve les données suivantes :

  • Nom et prénom
  • Adresse postale
  • Numéro de téléphone
  • E-mail
  • Numéro d'immatriculation de la sécurité sociale

En complément, il y a des informations sur l'état de santé du patient : son groupe sanguin, son médecin, sa mutuelle, une grossesse, des traitements médicaux, etc. La CNIL est fâchée, ce qui est légitime, et parle d'une "violation de données d’une ampleur et d’une gravité particulièrement importante". 

Des investigations sont en cours, d'une part pour identifier les auteurs de cette fuite avec l'aide de l'ANSSI, mais aussi pour identifier les victimes. En fait, ces fuites proviendraient d'une trentaine de laboratoires du nord-ouest de la France, plus précisément dans les départements suivants : Morbihan, Eure, Loiret, Côtes-d’Armor et Loir-et-Cher. Le point commun entre ces laboratoires, ce serait le logiciel utilisé pour saisir les renseignements au sujet des patients, sur une période bien précise : entre 2015 et octobre 2020.

À moins de se procurer la base de données en question, il n'est pas possible pour le moment de vérifier si l'on est concerné personnellement par cette fuite de données. Quoi qu'il en soit, il ne semble pas y avoir de réel recours pour les victimes, en tout cas d'un point de vue individuel. Néanmoins, la CNIL rappelle que les laboratoires devront prévenir les personnes concernées.

Ces données pourraient être utilisées dans le cadre de campagne d'hameçonnage ou pour de la publicité ciblée. Les pirates seraient surtout intéressés par la présence des adresses e-mail dans ce fichier et cela pourrait mener également à la diffusion de rançongiciels. Bernard Lamon, un avocat spécialiste du numérique, estime qu'il y a peu de chances qu'une compagnie d'assurance ose exploiter les données médicales : "ce serait illégal et extrêmement risqué". 

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 3128 articlesVoir toutes les publications de cet auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.