Recevez chaque jour toute l'actualité du numérique

x

Les données de santé d'un demi-million de patients français en libre accès sur Internet

Vu ailleurs Les données de santé de près de 500 000 personnes stockées par une trentaine de laboratoires d'analyse médicale ont fuité sur Internet et sont librement accessibles. Sont concernés des numéros de Sécurité social, des identifiants, des dates de naissance, des groupes sanguins... Les laboratoires concernés utilisaient tous le même logiciel de gestion, édité par la société Dedalus qui d'après d'anciens salariés négligeait largement la sécurité informatique de ses produits.
Twitter Facebook Linkedin Flipboard Email
×

Les données de santé d'un demi-million de patients français en libre accès sur Internet
Les données de santé d'un demi-million de patients français en libre accès sur Internet © Agence du numérique en santé

Les données de santé de 491 840 personnes ont été retrouvées en libre accès sur Internet, rapporte Libération. Il y a jusqu'à 60 informations différentes sur une même personne : numéro de Sécurité sociale, date de naissance, groupe sanguin, numéro de téléphone portable, identité du médecin prescripteur…. accompagnées dans certains cas par des commentaires plus précis sur l'état de santé du patient (grossesse, séropositif HIV, patiente sourde, Levothyrox…).

C'est l'auteur du blog Zataz spécialisé dans la sécurité informatique, Damien Bancal, qui a fait cette découverte via une chaîne Telegram turque sur laquelle un groupe de hackers se disputait ce butin. L'Agence nationale de la sécurité des systèmes d'information (Anssi) dit être au courant de cette fuite depuis la fin de la semaine au moins.

Des données d'analyse biologique
En pratique, ce fichier provient d'une trentaine de laboratoires de biologie médicale situé, pour la plupart, dans les départements du Morbihan, de l'Eure, du Loire, des Côtes-d'Armor et dans une moindre mesure du Loir-et-Cher. Les dates de prélèvements s'étalent de 2015 à octobre 2020. Sollicités par Libération, les laboratoires disent ne pas être au courant de cette fuite de données.

En plus de leur proximité géographique, ces laboratoires utilisent tous le logiciel Mega-Bus, commercialisé depuis 2009 par la société Dedalus France et dédié à la gestion des données de biologie. Ce logiciel, qui n'est plus à jour, a été progressivement abandonné ces dernières années, indique Libération. Par ailleurs, l'ensemble des informations médicales était stocké sur des serveurs situés dans les locaux des laboratoires. 

Le directeur général délégué de Dedalus, Didier Neyrat, assure ne pas être au courant de la situation mais propose une explication à cette fuite. "Quand ils passent d’un système vers un autre, les laboratoires [nous] demandent généralement une extraction des données administratives pour être capable de garder les informations de leurs clients (adresses, contacts etc.)". Pour cela, la société télécharge la base de données du laboratoire puis l’éditeur du nouveau logiciel la récupère.

Dans tous les cas, Dedalus n'est pas responsable de cet incident, rétorque le directeur général délégué. "Si le réseau du client, à un moment donné, n’est pas sécurisé, il peut y avoir un moment où le fichier est disponible. Ce n’est pas une faille du logiciel : c’est un moment particulier où les données ne sont plus dans le logiciel mais dans un fichier", affirme-t-il.

Des risques de phishing et d'usurpations d'identité
Cette fuite peut avoir des conséquences importantes. En effet, les personnes y figurant sont des cibles de choix pour des campagnes de phishing, des usurpations d'identités, de fausses ordonnances… Les résultats d'analyse ne sont pas directement accessibles via la base de données mais elle contient de nombreux identifiants et mots de passe qui pourraient être utilisés pour accéder à des messageries personnelles par exemple.

En décembre 2020, l'entreprise Dedalus a reconnu avoir été victime d'une attaque par ransomware sur les infrastructures d'un de ses sites, situé à Mérignac en Gironde. Aucune fuite de donnée n'avait été déclarée à cette époque. Un incident qui n'étonne pas les anciens salariés de la société. Ils dénoncent une politique de sécurité informatique trop "légère" citant des systèmes "obsolètes".

En octobre 2020, NextInpact relevait qu'un salarié avait même été licencié après avoir dénoncé d'importantes failles de sécurité concernant notamment les logiciels dédiés aux laboratoires de biologie médicale. "Ce sont des choses qui étaient soit erronées, soit des choses qui n'avaient rien à voir", a répondu Didier Neyrat.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.