Des données de santé divulguées après une cyberattaque contre un hôpital

La menace a été mise à exécution. Les hackers qui avaient bloqué le réseau informatique de l'hôpital de Corbeil-Essonnes (Essonne) en août ont mis en ligne, dimanche 25 septembre, des données de santé volées. Le centre hospitalier sud-francilien (CHSF), qui assure la couverture sanitaire de près de 700 000 habitants, a confirmé la publication d'informations qui "semblent concerner nos usagers, notre personnel ainsi que nos partenaires". Franceinfo revient sur ce piratage massif et les craintes qu'il suscite.

1Que s'est-il passé ?

En août, au moment de la cyberattaque, les hackers avaient réclamé à l'hôpital une rançon de 10 millions d'euros et fixé un ultimatum au 23 septembre. Cette rançon a été ramenée à un ou deux millions d'euros, selon les sources. L'établissement n'a pas payé la rançon. "La posture de l'Etat est claire là-dessus en ce qui concerne les hôpitaux. C'est clairement de ne pas payer la rançon", résume Gérome Billois, expert en cybersécurité pour le cabinet Wavestone.

C'est le blog de cybersécurité Zataz.com, qui a donné l'alerte, affirmant qu'une "première diffusion a[vait] été orchestrée sous la forme d'un fichier compacté de 11,7 gigaoctets". "L'attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l'espace de stockage du CHSF (environ 10%)", ajoute-t-il.

2Quelles sont les données dévoilées ?

Selon les informations fournies dimanche par l'hôpital, les informations divulguées par les pirates "semblent concerner nos usagers, notre personnel ainsi que nos partenaires". Parmi elles figurent "certaines données administratives", dont le numéro de sécurité sociale, et "certaines données de santé telles que des comptes rendus d'examen et en particulier des dossiers externes d'anatomocytopathologie, de radiologie, laboratoires d'analyse, médecins", a poursuivi le centre hospitalier.

Selon Damien Bancal, rédacteur du site spécialisé Zataz.com, qui a pu consulter le fichier, celui-ci contient des documents aussi variés que des examens médicaux, des recours à la couverture médicale universelle (CMU), et une autorisation d'internement d'office en service psychiatrique.

"Seuls les initiés peuvent accéder aux données."

"Sur dix ans, ce sont des données qui concernent près d'1,5 million de personnes qui ont pu être patients à l'hôpital et puis des milliers d'agents. C'est considérable", souligne sur franceinfo le maire de Corbeil-Essonnes, Bruno Piriou, membre du conseil de surveillance du CHSF.

3Qui sont les responsables ?

Ceux qui ont divulgué ces données sont les auteurs de la cyberattaque, soit le groupe de hackers russophones Lockbit 3.0. Ce groupe est actif dans le monde entier (Etats-Unis, Chine, Inde, Indonésie, Ukraine, France, Royaume-Uni, Allemagne...). "On les connaît, parce qu'ils communiquent énormément, parce qu'ils sont joignables facilement. On peut converser avec eux. C'est ça qui est complètement fou. Ils ont mis en place des services après-vente. Maintenant, savoir où ils se trouvent… S'ils sont au fin fond de la Russie, cela va être très compliqué", assure à franceinfo Damien Bancal.

"Ils sont capables de tout parce qu'ils savent qu'il y a de l'argent."

"On a des pirates qui n'ont même pas peur de téléphoner à leurs victimes ou carrément téléphoner aux partenaires commerciaux des victimes qu'ils ont infiltrées", avance-t-il. Selon lui, sur 170 entreprises dans le monde piratées ces derniers jours, 42 ont déjà payé la rançon exigée par ce groupe de hackers.

4Quels sont les risques ?

Les autorités craignant désormais de nouvelles attaques ciblées. Ils ont inventé "le marketing de la malveillance", illustre Damien Bancal. "Ils se disent : 'On bloque tout et on va nous payer le déblocage'. Sauf qu'ils ont ajouté des lames malveillantes à leur couteau suisse", décrit-il. En effet, si l'entreprise ne paie pas le déblocage de ses systèmes, elle va peut-être payer pour éviter que les pirates diffusent les informations. "Et si jamais l'entreprise ne paye pas cette seconde rançon réclamée, ils toucheront de l'argent, soit en diffusant gratuitement comme un échantillon et donc du coup ça fera peur à d'autres entreprises, soit carrément, ils vont redistribuer à d'autres pirates collègues et partenaires, dont la mission principale, c'est de toucher de l'argent", poursuit-il.

Dans son communiqué de presse, l'hôpital de Corbeil-Essonnes a rappelé les principales mesures de sécurité à suivre. En cas de réception d'un email, SMS, ou appel téléphonique demandant telle ou telle action, il faut "vérifier que l'expéditeur est bien légitime et en lien avec le sujet" et "ne jamais fournir d'informations confidentielles (bancaires, mots de passe...)". Il faut "être vigilant si le ton du message est pressant, qu'il vous pousse à l'action, d'autant plus si vous n'attendiez pas ce message", a également prévenu l'hôpital. Celui-ci recommande aussi de "vérifier les comptes associés" à un numéro de Sécurité sociale et d'en changer les mots de passe "au moindre doute".

5Comment réagissent les autorités ?

Dans la foulée, le ministre de la Santé, François Braun, a condamné "la divulgation inqualifiable de données piratées". "Nous ne céderons pas face à ces criminels. L'ensemble des services de l'Etat sont mobilisés" au côté de l'hôpital, a-t-il ajouté.

Je condamne avec la plus grande fermeté la divulgation inqualifiable de données piratées issues du @CHSF91. Nous ne céderons pas face à ces criminels. L’ensemble des services de l’État sont mobilisés aux côtés du Centre hospitalier Sud Francilien de Corbeil-Essonnes.

Une enquête a été ouverte par le parquet de Paris et confiée aux gendarmes du Centre de lutte contre les criminalités numériques (C3N). Bruno Piriou, le maire de Corbeil-Essonnes, a appelé à la solidarité et à la prudence. Il rappelle que tout le monde est "tombé d'accord, que ce soit au sommet de l'Etat ou les élus locaux", pour ne pas céder au chantage. "Cela peut nous dépasser. Il faut que l'on soit tous d'accord dans notre République, que cela fasse jurisprudence, prévient-il, si on se met à donner des millions d'euros à des criminels pour qu'ils ne divulguent pas des données, c'est la porte ouverte à ce que cela se reproduise tout le temps."