Ce que vous risquez si vous faites partie du million de Français aux données de santé volées

« L’offre de protection des données personnelles n’était pas prête à la demande actuelle », explique le chercheur en cybersécurité Baptiste Robert.
Mathieu Thomasset / Hans Lucas via AFP

Propos recueillis par Célia Cuordifede

Publié le 20/09/2021 à 19:30

D’après un mail envoyé aux concernés par l’Assistance publique des hôpitaux de Paris (AP-HP), les données de santé de 1,4 million de personnes en Île-de-France auraient été dérobées pendant la période estivale. De la simple arnaque à l’usurpation d’identité : le chercheur Baptiste Robert nous explique ce que l’on risque si l’on se trouve dans cette liste.

Au fil des mois, l’histoire se répète à travers l’Hexagone. Ce vendredi 20 septembre, l’Assistance publique des hôpitaux de Paris (AP-HP) s’est fendue d’un mail pour expliquer à 1,4 million de Franciliens qu’ils ont été victimes du vol d’une partie de leurs données personnelles et de santé (nom, prénom, adresse, numéro de téléphone, email, numéro sécurité sociale et positivité de leur test PCR).

Le vol se serait déroulé cet été et concernerait un fichier de personnes ayant réalisé un test PCR dans le cadre de l’épidémie de Covid-19 à la mi-2020. À ce stade, l’AP-HP qui se dit « vraiment désolée », indique par ailleurs n’avoir « aucune connaissance d’une réutilisation de ces données ». Ajoutant tout de même : « Nous savons que ces données ont été accessibles sur une plateforme de téléchargement hébergée en Nouvelle-Zélande. Cet accès a été coupé le 14 septembre 2021 ».

Pour Marianne, le chercheur en cybersécurité Baptiste Robert et hackeur connu sous le pseudonyme d’Elliot Alderson, explique quels sont les risques qu’encourent les personnes concernées par ce vol. Entretien.

Marianne : Que risque-t-on si l’on fait partie des 1,4 million de personnes dont les données personnelles de santé ont été violées ? À quoi doit-on s’attendre ?

Baptiste Robert : Dans un premier temps, il est essentiel d’avoir conscience que des données personnelles vous appartenant ont été, ou ont pu être dérobées. L’organisme qui les hébergeait a une obligation légale de vous avertir. Il faut aussi que vous soyez avertis du contenu de la faille, quelles sont vos données personnelles qui ont fuité…

En fonction des données dérobées, les risques sont plus ou moins importants. Cela peut aller de l’usurpation d’identité à la divulgation d’informations confidentielles. C’est d’ailleurs tout l’intérêt du vol des données de santé, elles sont tellement précises et personnelles qu’elles peuvent facilement permettre l’usurpation d’identité.

En outre, être en possession de ces données-là, permet à un hacker d’être plus malin dans son approche d’arnaque. Il va ainsi pouvoir se faire passer avec plus de finesse pour un service public (ministère, sécurité sociale…) et tenter de vous soutirer de l’argent. C’est ce que l’on appelle une campagne de « phishing » (hameçonnage, N.D.L.R.). La technique consiste en l’envoi d’un email avec un lien frauduleux, en espérant que vous cliquiez sur ce lien sans vous poser de questions. Avec vos données de santé, le hacker peut vous dire : « Bonjour, Madame … », avec votre vrai nom et prénom, « Vous avez réalisé un test PCR tel jour à telle heure, il y a un problème dans votre dossier, veuillez cliquer sur ce lien ». Là, il y a beaucoup plus de chances que l’arnaque fonctionne car cet email est très personnalisé et précis. Toutes ces informations sur vous rendent ce mail crédible et cela attire moins votre vigilance.

Si l’on a été victime de ce vol de données, un recours est-il possible ?

Pas vraiment, c’est tout le problème. Une fois que vos données sont dans la nature, c’est vraiment terminé, il n’y a pas de recours, et encore moins de moyens de les extraire. Vos données sont définitivement dans la nature pour qui sait chercher correctement. Et de fait, ce ne sont plus vos données personnelles. Enfin ce sont les vôtres, mais vous en avez perdu la propriété. À partir du moment où vous mettez quelque chose sur Internet, cela ne vous appartient plus.

Il existe des recours légaux contre ceux qui ont fait fuiter vos données, en l’occurrence ici il s’agit de l’AP-HP, puisqu’ils avaient la responsabilité légale de protéger vos données. Mais ça n’arrangera rien, le mal est fait.

Y a-t-il un moyen de savoir si nos données ont d’ores et déjà été dérobées, ou piratées ?

Il existe un site nommé « haveibeenpwnd.com » qui permet, lorsque vous renseignez votre mail et/ou numéro de téléphone, de savoir si vous êtes dans une fuite de données. Aujourd’hui c’est ce qu’il se fait de mieux. Le FBI et d’autres autorités, notamment australiennes, ont déjà fait des partenariats avec ce site. Néanmoins, cela ne vous détaille pas le contenu de la fuite, mais cela va permettre d’identifier le moment où vos données ont fuité ainsi que les causes de cette fuite. C’est par ailleurs un très bon outil de sensibilisation.

La fuite de données de santé n’est plus vraiment inédite. Pourquoi ?

La crise sanitaire mondiale liée à l’épidémie de Covid-19 a fait que les gens, via les tests PCR mais aussi via la vaccination, ont fourni aux pharmacies ainsi qu’aux laboratoires des données de santé personnelles. Or, ces entreprises n’étaient pas prêtes à accueillir et à devoir gérer autant de données sensibles.

L’offre de protection des données personnelles n’était pas prête à la demande actuelle, d’autant plus dans les entreprises du médical, très en retard sur la cyber sécurité. Les hackers n’ont fait que pirater des systèmes de stockage des données très peu adaptés pour sécuriser des données aussi personnelles.

Il y a donc une vraie défaillance structurelle…

Oui, c’est un problème de service et de culture. Jusqu’ici, ce n’était pas forcément dans la culture des pharmaciens, des laborantins et d’autres de protéger les données personnelles de leurs clients, de s’équiper de systèmes de stockage de l’information dernier cri. Le monde médical a une culture relativement vieillissante du logiciel. Il est nécessaire de mettre à niveau tout un secteur, qui aujourd’hui est dépositaire de beaucoup de choses.

Cet incident a été notifié à la commission nationale de l’informatique et des libertés (CNIL), comme prévu par l’article 34 du règlement européen sur la protection des données (RGPD). L’autorité judiciaire a été saisie par l’AP-HP et le ministère des Solidarités et de la Santé. Une fois que la CNIL a été saisie, que va-t-il se passer ? 

Absolument rien, comme d’habitude. La CNIL n’a en réalité qu’un avis consultatif. Elle prend très peu de décisions visant à faire bouger les lignes d’un point de vue juridique. Le fait que la CNIL soit saisie est utile pour contraindre les sociétés à communiquer sur le sujet du vol des données lorsque ça leur arrive.

Source : Marianne

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *