Fuite de données de santé: quels risques pour les 500.000 personnes concernées?

Il est l'un des plus denses, sinon le plus important fichier de données de santé jamais divulgué en ligne à propos de patients français. La base de données de près de 500.000 lignes, pour presque autant de patients, sur laquelle Libération a enquêté, fait courir d'importants risques aux personnes concernées, sans réel recours possible de leur part.

Le fichier, qui circule encore en ligne, fera l'objet d'une enquête judiciaire lancée ce mercredi par le Parquet de Paris pour piratage informatique, et confiée àl'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC).

Les données, issues d'une trentaine de laboratoires français et qui relèvent pour la plupart du secret médical, vont des simples coordonnées - adresse postale, téléphone, email - à des indications sur le groupe sanguin, le médecin traitant, la mutuelle ou encore le numéro de Sécurité sociale.

Certains commentaires sur l'état de santé des patients, de leur traitement médicamenteux ou encore d'une éventuelle séropositivité ont eux aussi été annotés dans la base, consultée par BFM Tech. Ces commentaires vont jusqu'à la mention de proches et relations amicales ou d'appréciations sur l'attitude des patients, l'un d'entre eux étant par exemple qualifié de "désagréable".

Les résultats d'analyses, ou les dossiers médicaux des patients, ne sont pas directement répertoriés dans la base. Mais cette dernière comporte néanmoins des mots de passe et identifiants de connexion à des "espaces patients" de laboratoires, qui pourraient permettre de les récupérer aisément, s'ils n'ont entre temps pas été modifiés.

La voie vers d'autres comptes en ligne

L'éventail de risques encourus par les personnes concernées s'avère plutôt vertigineux. Le premier d'entre eux reste la réutilisation des combinaisons de mots de passe et d'identifiants enregistrés: non seulement pour accéder à des résultats d'analyse, comme nous l'avons mentionné, mais aussi pour tenter de mettre la main sur d'autres comptes en ligne.

Choisis par les utilisateurs, les mots de passe qui figurent dans le fichier peuvent potentiellement être testés pour accéder à d'autres services en ligne, si les mêmes combinaisons ont été choisies pour sécuriser une boîte mail ou des comptes sur des réseaux sociaux. D'après un expert du secteur, le fichier comporte 14.997 mots de passe uniques, tous accessibles en clair.

Les laboratoires n'ont pas pris la précaution de les chiffrer. Surtout, leur simplicité laisse entendre que leurs détenteurs n'ont pas eu le réflexe d'opter pour un mot de passe différent pour chaque service en ligne.

Du phishing ciblé

Ces mêmes patients deviennent surtout des cibles de choix pour du phishing personnalisé, ou hameçonnage, qui désigne l'envoi de messages trompeurs conçus pour mieux récupérer des coordonnées personnelles ou bancaires.

L'Assurance maladie a mi-février de nouveau mis en garde ses assurés au sujet de SMS et mails frauduleux, qui usurpent son nom et son logo pour mettre la main sur des données personnelles et inciter à appeler des numéros surtaxés.

Le fichier qui circule en ligne laisse augurer de redoutables campagnes de hameçonnage pour deux raisons: la quantité de données disponibles, la base répertoriant 158.548 numéros de téléphone uniques et plus de 57.700 mails, toujours d'après un expert du secteur; la nature-même des données et leur caractère particulièrement intrusif. Comment ignorer ou considérer comme trompeur un mail qui reprend son propre numéro de Sécurité sociale, voire la nature d'une pathologie que l'on avait gardée pour soi ?

Le fichier fait par ailleurs figurer l'âge des patients, et donne à des acteurs malveillants les moyens de cibler essentiellement des personnes âgées.

Des usurpations d'identité

Les données recensées dans ce fichier sont enfin propices à l'usurpation d'identité de patients. Figurent notamment dans la base des policiers et militaires, dont la profession peut être déduite du nom de leur mutuelle, fait remarquer un expert du secteur.

La Direction générale de la santé a indiqué mercredi à l'AFP que cette fuite faisait l'objet d'investigations par "l'Agence nationale de la sécurité des systèmes d'information (Anssi), le Ministère des Solidarités et de la Santé, en lien avec la Cnil et l'éditeur de logiciel, dont il est suspecté que des anciennes installations de sa solution de gestion de laboratoire soient impliquées".

Toujours d'après un expert du secteur, les trente laboratoires à partir desquels les données auraient fuité avaient été incités à passer à un nouveau logiciel, mais avaient fait le choix de continuer à utiliser une version obsolète.