Cyberattaque de l’hôpital de Corbeil-Essonnes : des données de santé divulguées
Les pirates de l’hôpital de Corbeil-Essonnes sont passés à l’acte en divulguant des informations d'usagers, du personnel et de partenaires. Une enquête a été ouverte par le parquet de Paris.
Des menaces mises à exécution. Les pirates informatiques auteurs de l'attaque contre l'hôpital de Corbeil-Essonnes en août dernier ont divulgué des informations de santé volées, faisant planer un risque de chantage ou d'extorsion sur les personnes concernées.
L'hôpital, situé dans l'Essonne, au sud de Paris, assure la couverture sanitaire de près de 700.000 habitants de la grande couronne. Il avait été victime le 21 août d'une cyberattaque avec demande de rançon de 10 millions de dollars, ramenée ensuite à un ou deux millions de dollars, selon les sources. Selon Zataz (un blog de cybersécurité), les hackers avaient fixé un ultimatum au 23 septembre à l'hôpital pour payer la rançon. Mais les établissements publics ne paient jamais les rançons, la loi le leur interdisant.
Des données d'usagers, du personnel et de partenaires divulguées
"Je condamne avec la plus grande fermeté la divulgation inqualifiable de données piratées issues du centre hospitalier de Corbeil-Essonnes" a déclaré le ministre de la Santé François Braun dans un tweet dimanche après-midi. "Nous ne céderons pas face à ces criminels. L'ensemble des services de l’État sont mobilisés" au côté de l'hôpital, a-t-il ajouté.
Je condamne avec la plus grande fermeté la divulgation inqualifiable de données piratées issues du @CHSF91. Nous ne céderons pas face à ces criminels. L’ensemble des services de l’État sont mobilisés aux côtés du Centre hospitalier Sud Francilien de Corbeil-Essonnes.
— François Braun (@FrcsBraun) September 25, 2022
D’après les informations fournies dimanche 25 septembre par l'hôpital, les informations divulguées par les pirates via le "dark web" (les sites internet non référencés par les navigateurs classiques) "semblent concerner nos usagers, notre personnel ainsi que nos partenaires". Parmi elles figurent "certaines données administratives", dont le numéro de sécurité sociale, et "certaines données santé telles que des compte-rendus d'examen et en particulier des dossiers externes d'anatomocytopathologie, de radiologie, laboratoires d'analyse, médecins", a poursuivi le centre hospitalier.
L'attaque n’a pas touché toutes les données
Heureusement toutes les données ne sont pas concernées. "L'attaque semble avoir été circonscrite (...)à une partie seulement de l’espace de stockage (de l'hôpital) environ 10%", ajoute-t-il.
Selon Damien Bancal, l'auteur du blog Zataz qui a pu consulter le fichier, celui-ci contient des documents aussi variés que des examens médicaux, des recours à la couverture médicale universelle (CMU), et une autorisation d'internement d'office en service psychiatrique. Il a affirmé au Parisien que 2 797 personnes avaient consulté les données. Parmi ces individus il peut avoir des petits pirates qui vont collecter les données personnelles pour faire des escroqueries.
Quels risques pour les victimes ?
"Seuls les initiés peuvent accéder aux données" a indiqué M. Bancal à l'AFP. Une enquête a été ouverte par le parquet de Paris et confiée aux gendarmes du Centre de lutte contre les criminalités numériques (C3N).
Mais le risque est désormais que des escrocs utilisent les données accessibles pour monter de nouvelles attaques ciblées, en utilisant les informations personnelles à leur disposition pour capter la confiance de la victime.
Les attaquants vont par exemple rechercher "des patrons, des personnalités importantes", et monter des arnaques comme "les fraudes au président", où l'escroc arrive à obtenir un virement bancaire d'une institution en se faisant passer pour son dirigeant ou son directeur financier, a expliqué M. Bancal.
Les escrocs peuvent aussi utiliser les numéros de téléphone pour monter les arnaques aux comptes personnels de formation (CPF) ou aux cryptomonnaies, les adresses mail pour faire du "hameçonnage" (en anglais "phishing", inciter l'internaute à télécharger des fichiers malveillants ou à cliquer sur des liens pour lui extorquer des identifiants et code d'accès...).
Comment se défendre ?
Dans son communiqué de presse, l'hôpital de Corbeil-Essonnes a rappelé les principales mesures de sécurité à suivre. En cas de réception d'un email, SMS, ou appel téléphonique demandant de réaliser une action spécifique, il faut "vérifier que l’expéditeur est bien légitime et en lien avec le sujet" et "ne jamais fournir d’informations confidentielles (bancaires, mots de passe…)".
De plus, l'hôpital a également indiqué qu'il faut "être vigilant si le ton du message est pressant, qu’il vous pousse à l’action, d’autant plus si vous n’attendiez pas ce message". Celui-ci recommande aussi de "vérifier les comptes associés" à un numéro de Sécurité sociale et d'en changer les mots de passe "au moindre doute". En 2021, l’ANSSI (Agence nationale de la sécurité des systèmes d'information) a relayé qu’un établissement de santé en France est victime de cyberattaques toutes les semaines.