Les données de santé d'un demi-million de patients français en libre accès sur Internet

Les données de santé de près de 500 000 personnes stockées par une trentaine de laboratoires d'analyse médicale ont fuité sur Internet et sont librement accessibles. Sont concernés des numéros de Sécurité social, des identifiants, des dates de naissance, des groupes sanguins... Les laboratoires concernés utilisaient tous le même logiciel de gestion, édité par la société Dedalus qui d'après d'anciens salariés négligeait largement la sécurité informatique de ses produits.

Partager
Les données de santé d'un demi-million de patients français en libre accès sur Internet

Les données de santé de 491 840 personnes ont été retrouvées en libre accès sur Internet, rapporte Libération. Il y a jusqu'à 60 informations différentes sur une même personne : numéro de Sécurité sociale, date de naissance, groupe sanguin, numéro de téléphone portable, identité du médecin prescripteur…. accompagnées dans certains cas par des commentaires plus précis sur l'état de santé du patient (grossesse, séropositif HIV, patiente sourde, Levothyrox…).

C'est l'auteur du blog Zataz spécialisé dans la sécurité informatique, Damien Bancal, qui a fait cette découverte via une chaîne Telegram turque sur laquelle un groupe de hackers se disputait ce butin. L'Agence nationale de la sécurité des systèmes d'information (Anssi) dit être au courant de cette fuite depuis la fin de la semaine au moins.

Des données d'analyse biologique
En pratique, ce fichier provient d'une trentaine de laboratoires de biologie médicale situé, pour la plupart, dans les départements du Morbihan, de l'Eure, du Loire, des Côtes-d'Armor et dans une moindre mesure du Loir-et-Cher. Les dates de prélèvements s'étalent de 2015 à octobre 2020. Sollicités par Libération, les laboratoires disent ne pas être au courant de cette fuite de données.

En plus de leur proximité géographique, ces laboratoires utilisent tous le logiciel Mega-Bus, commercialisé depuis 2009 par la société Dedalus France et dédié à la gestion des données de biologie. Ce logiciel, qui n'est plus à jour, a été progressivement abandonné ces dernières années, indique Libération. Par ailleurs, l'ensemble des informations médicales était stocké sur des serveurs situés dans les locaux des laboratoires.

Le directeur général délégué de Dedalus, Didier Neyrat, assure ne pas être au courant de la situation mais propose une explication à cette fuite. "Quand ils passent d’un système vers un autre, les laboratoires [nous] demandent généralement une extraction des données administratives pour être capable de garder les informations de leurs clients (adresses, contacts etc.)". Pour cela, la société télécharge la base de données du laboratoire puis l’éditeur du nouveau logiciel la récupère.

Dans tous les cas, Dedalus n'est pas responsable de cet incident, rétorque le directeur général délégué. "Si le réseau du client, à un moment donné, n’est pas sécurisé, il peut y avoir un moment où le fichier est disponible. Ce n’est pas une faille du logiciel : c’est un moment particulier où les données ne sont plus dans le logiciel mais dans un fichier", affirme-t-il.

Des risques de phishing et d'usurpations d'identité
Cette fuite peut avoir des conséquences importantes. En effet, les personnes y figurant sont des cibles de choix pour des campagnes de phishing, des usurpations d'identités, de fausses ordonnances… Les résultats d'analyse ne sont pas directement accessibles via la base de données mais elle contient de nombreux identifiants et mots de passe qui pourraient être utilisés pour accéder à des messageries personnelles par exemple.

En décembre 2020, l'entreprise Dedalus a reconnu avoir été victime d'une attaque par ransomware sur les infrastructures d'un de ses sites, situé à Mérignac en Gironde. Aucune fuite de donnée n'avait été déclarée à cette époque. Un incident qui n'étonne pas les anciens salariés de la société. Ils dénoncent une politique de sécurité informatique trop "légère" citant des systèmes "obsolètes".

En octobre 2020, NextInpact relevait qu'un salarié avait même été licencié après avoir dénoncé d'importantes failles de sécurité concernant notamment les logiciels dédiés aux laboratoires de biologie médicale. "Ce sont des choses qui étaient soit erronées, soit des choses qui n'avaient rien à voir", a répondu Didier Neyrat.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS