TOUT COMPRENDRE - Les données médicales de près de 500.000 personnes en France divulguées en ligne

Un fichier reprenant des données médicales sensibles associées à un demi-million de personnes en France a été indûment mis en ligne, et circule toujours sur Internet. La trouvaille, réalisée par le blog spécialisé en cybersécurité Zataz et dévoilée par Challenges, fait courir d'importants risques aux personnes concernées, sans réel recours possible de leur part.

· De quoi s’agit-il?

Le fichier divulgué en ligne est d’une ampleur sans précédent, pour des données qui relèvent du secret médical. Il comporte à lui seul 491.840 lignes, pour presque autant de patients. Y sont recensées non seulement leurs coordonnées - adresse postale, téléphone, email - mais aussi des indications sur leur groupe sanguin, leur médecin traitant, leur mutuelle ou leur numéro de Sécurité sociale.

Plus problématique encore, certains commentaires sur l'état de santé des patients ont été annotés. Ainsi des traitements médicamenteux, des pathologies ou encore une éventuelle séropositivité ont été dévoilés.

Les résultats d'analyses, ou les dossiers médicaux des patients, ne sont pas directement accessibles mais ne sont plus vraiment protégés. Figurent en effet dans le même fichier des mots de passe et identifiants de connexion à des "espaces patients" de laboratoires.

· D’où proviennent les données?

D'après Libération, l'ensemble de ces données médicales provient non pas d'hôpitaux ou de cabinets médicaux, mais de laboratoires de biologie médicale, pour la plupart situés dans le quart nord-ouest de la France. Parmi les départements les plus concernés, figurent le Morbihan, l’Eure, le Loiret ou encore les Côtes-d’Armor.

Le point commun le plus vraisemblable entre ces laboratoires: le recours au même logiciel de saisie de renseignements médico-administratifs, commercialisé par Dedalus France, filiale française du leader européen du secteur.

Le 2 décembre dernier, l'entreprise avait reconnu avoir été victime sur l'un de ses sites d'une attaque informatique de type rançongiciel - qui vient rendre inaccessibles des données sensibles pour mieux exiger le versement d'une rançon. D'après le site spécialisé NextInpact, l'un des salariés de l'entreprise a été renvoyé pour "faute grave": avoir alerté sur l'existence de failles de sécurité sur les logiciels destinés aux laboratoires de biologie médicale.

· Quels risques pour les personnes recensées?

L'éventail de risques encourus par les personnes concernées s'avère particulièrement large. Choisis par les utilisateurs, les mots de passe qui figurent dans le fichier peuvent potentiellement être testés pour accéder à d'autres services en ligne, si tant est que les patients les utilisent pour accéder à leurs boîtes mails ou comptes sur des réseaux sociaux.

Ces mêmes patients deviennent surtout des cibles de choix pour du phishing personnalisé. Ce dernier désigne l'envoi de messages trompeurs conçus pour mieux récupérer des coordonnées personnelles ou bancaires.

Ces campagnes s'avèrent d'autant plus crédibles lorsqu'elles reprennent des éléments précis sur leurs victimes - et donc particulièrement redoutables lorsque des pirates ont la main sur des numéros de Sécurité sociale, noms de médecins prescripteurs ou encore sur des noms et dates d'examen en laboratoire.

Dernier risque à ne pas sous-estimer: l'usurpation d'identité rendue possible par les informations divulguées, ou encore la rédaction de fausses ordonnances.

· Le fichier est-il encore en ligne?

Le fichier en question peut être retrouvé "à sept endroits différents sur Internet", a précisé à l'AFP Damien Bancal, journaliste spécialiste de la cybersécurité, qui a le premier identifié la fuite le 14 février sur son blog Zataz.

Il circulerait de plus en plus largement.

· Peut-on savoir si on est concerné ? Et quels recours possibles?

Aucun moyen automatisé n'existe encore réellement pour repérer la mention d'un patient dans ce large fichier. Dans son article 34, le règlement européen sur la protection des données prévoit un dispositif de notification obligatoire des personnes concernées. Ces dernières n'ont pour l'heure pas été alertées.

Sollicitée par BFM Tech, la CNIL se contente de rappeler les obligations des responsables de traitement de données confrontées à une telle fuite, dont celle "d'informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne".

Seuls les détenteurs du fichier peuvent en fin de compte avoir connaissance des patients concernés. Parmi eux figure par exemple l'ancien ministre de la Défense, Hervé Morin. Contacté par Libération, il envisage la possibilité d'une plainte au pénal.