Réaction tardive, 28 laboratoires… On en sait plus sur la fuite de données d'un demi-million de patients

Il y a une semaine, on apprenait que les données de santé de 491 840 personnes avaient été retrouvées en accès libre sur Internet. Ce fichier contient des numéros de sécurité sociale, des dates de naissance, des numéros de téléphone portable, des groupes sanguins… provenant de divers laboratoires d'analyse biologique qui utilisent tous le logiciel de gestion Mega-Bus, édité par Dedalus France.

28 laboratoires concernés
La société vient de préciser dans un communiqué qu'elle avait identifié 28 laboratoires concernés par cette fuite, répartis dans six départements en Bretagne, Centre-Val-de-Loire et Normandie. Le laboratoire Océalab, situé à Vannes, a décidé de porter plainte contre X pour comprendre comment une telle fuite a été possible, rapporte France 3.

De son côté, le parquet de Paris a décidé d'ouvrir une enquête judiciaire pour "accès et maintien frauduleux dans un système de traitement automatisé de données" et "extraction, détention et transmission frauduleuse". Elle a été confiée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). La Commission nationale de l'informatique et des libertés (Cnil) s'est également saisie de l'affaire.

Les autorités auraient mis du temps à réagir
Mais la réaction des autorités a été tardive, d'après Libération. L'Agence nationale de sécurité des systèmes d'information (Anssi) a déclaré avoir "identifié la fuite des données de santé et son origine en novembre 2020" et l'avoir signalé au ministère des Solidarités et la Santé. Seul le laboratoire rennais Laborizon Coatanlem avait alors identifié comme impliqué dans l'incident. Il avait déposé un signalement auprès de la Cnil.

Mais pourquoi cet incident n'a-t-il pas suscité une réaction immédiate ? Lorsque ce signalement a été fait, il "n'avait pas du tout la même ampleur" que la fuite de données actuelle, a expliqué la Cnil à nos confrères. "Cette notification concernait un fichier de 27 000 lignes – donc, a priori 27 000 personnes (…) Il n'y avait pas d'indications de données de santé", a détaillé l'autorité protectrice de la vie privée.

D'après une source gouvernementale, le groupe concerné par cette fuite – qui serait due à la migration vers un nouveau logiciel – aurait été peu "collaboratif" avec les autorités lors des investigations fin 2020.

Les victimes de la fuite restent sans réponse
Il a donc fallu attendre que la base de données soit en accès libre sur Internet pour que les autorités prennent les choses au sérieux. A ce sujet, Olivier Kerrand – le président d'Océalab, l'un des laboratoires concernés par la fuite – affirme qu'il n'avait jamais "eu vent de cette affaire" avant que Libération ne l'appelle dans le cadre de son enquête.

"J’ai appris dans la presse que les autorités étaient au courant d’une fuite fin 2020", a-t-il poursuivit Olivier Kerrand. "Personne ne nous a rien dit, on ne sait pas si on était dedans. On a un sentiment de frustration, car on se dit que si on avait pu être au courant à ce moment-là, on aurait commencé à prévenir nos patients", a-t-il ajouté.

Des moteurs de recherche illégaux
Ce manque de réactivité fait qu'aujourd'hui les personnes n'ont aucun moyen de savoir si leurs données de santé sont officiellement impliquées dans cette fuite. Divers moteurs de recherche ont été mis en ligne pour savoir si l'on figure ou non dans le fichier litigieux. En plus de n'avoir aucune certitude sur la véracité des informations qu'ils donnent, ces outils sont totalement illégaux. Leurs auteurs pourraient être poursuivis pour "recel" car ils transmettent des informations qui proviennent d'un acte délictueux.

Sélectionné pour vous

Quelles sont les entreprises qui achètent le plus de solutions technologiques souveraines ?

A la suite d'un ransomware, la ville de Betton voit ses données publiées

L'assurtech française Stoïk lève 10 millions d'euros pour séduire le marché allemand