Publicité en cours de chargement...
Retour sur la récente fuite de données concernant 500 000 patients français
Tentons un modeste débroussaillage de la situation. Le 14 février, Damien Bancal annonçait sur Zataz, la vente d’une base de données « de santé » de près de 500 000 patients français [1]. Le 23 février, information reprise par La Dépêche [2], le quotidien Libération [3] annonçait que cette fameuse base de données dérobée à des laboratoires de biologie médicale principalement situés dans le quart nord ouest de la France, avait été rendue publique suite à une dispute entre pirates sur un groupe Telegram spécialisé dans l’échange de bases de données volées.
Dans la foulée, un cabinet de conseil en sécurité de la région concernée par ce « leak », probablement inspiré par le chercheur Troy Hunt et son célèbre service Have I Been Pwned [4], proposait un moteur de recherche permettant de savoir, à partir de son NIR, si ses données étaient présentes dans cette fuite de données :
Si la démarche qui ne me parait pas spécialement malhonnête, est un peu « borderline » sur le plan juridique, le cabinet annonce ne stocker que les condensats (au format sha256) des numéros de sécurité sociale et ne conserver aucune trace sur les utilisateurs ayant fait des recherches sur le site, qui ne présent aucun traqueur, cookie ou contenu tiers. Après, de là à dire que le serveur nginx n’enregistre aucune trace ou que l’hébergeur du site en question ne supervise pas les flux vers cette machine de son réseau, rien n’est moins sûr.
Le 26 février, le groupe Dedalus, éditeur du logiciel utilisé par le groupe de laboratoires dont la base de données a fuitée, indiquait dans un communiqué de presse avoir permis aux autorités, d’identifier les 28 laboratoires concernés [5], répartis dans six départements (22, 27, 35, 41, 45, 56).
En ce lundi 1er mars, la CNIL [6] s’exprimait sur le sujet en indiquant tout d’abord que les laboratoires avaient notifié la Commission et indiqué qu’ils allaient rapidement contacter les personnes concernées. La CNIL rappelle également qu’elle ne peut pas informer les victimes et recommande de ne pas utiliser les services tiers proposés pour rechercher si ses données apparaissent dans cette importante fuite de données.
Si l’enquête est toujours en cours aujourd’hui, essayons d’en tirer quelques enseignements.
Sans trop vouloir m’avancer, le fichier ressemble à un gros export d’une base de données à vocation plutôt administrative. Pour qu’il concerne autant de laboratoires, ont peut penser qu’il s’agit d’un groupement ou qu’ils aient tous choisi un hébergement mutualisé chez le même prestataire. Si c’est le cas, espérons pour lui qu’il soit HDS, vu les informations qui se trouvent dans la base. La question est qui a fait le « dump » de la base ? Un attaquant qui aurait infiltré le SIL ou un administrateur qui aurait fait une « mauvaise manipulation » ?
Au delà de ça, le contenu de la base soulève d’autres questions. Des champs « commentaires » dans lesquels sont indiquées des mentions telles que : « VIH », « Invalidité », « retour de Guyane », « épouse enceinte », « Previscan », « Covid », « Refus tiers payant », identifiant et mot de passe, j’en passe et des meilleures… met une fois de plus en évidence un manque de sensibilité des professionnels de notre secteur (au sens large) dans le domaine de la protection des données de santé à caractère personnel.
Quand dans le champ adresse de courriel du médecin on retrouve pour certains des adresses en mssante.fr et pour d’autres docteurpouetpouet chez wanadoo.fr ou yahoo.com, là aussi, je pense qu’il y a encore un travail d’évangélisation à faire.
On a parlé des patients, mais ils ne sont pas les seuls concernés par cette fuite de données. Les professionnels de santé eux aussi sont impactés, médecins, sages femmes, préleveurs, eux aussi sont dans la base… Ne les oublions pas, car si les patients peuvent être victimes d’escroqueries en tout genre, les professionnels de santé, eux aussi pourraient bien être visés...
[1] https://www.zataz.com/plus-de-400-000-donnees-de-patients-francais-vendus-dans-le-blackmarket/
Avez-vous apprécié ce contenu ?
A lire également.

Les SI de santé : c’est tout de même assez dingue en 2025 que…
28 avril 2025 - 21:51,
Tribune
-Forcément, dans la cyber on voit passer quasiment tous les projets IT d’une organisation : en principe, ils doivent tous suivre une étape d’homologation, sans parler de ceux qui mettent en œuvre des traitements RGPD enclenchant mécaniquement et a minima une inscription à un registre interne.

Ouverture des appels à projets d’ESMS numérique
28 avril 2025 - 21:34,
Actualité
- DSIH, Damien DuboisEn cours de généralisation, le programme ESMS numérique a fait l’objet d’une instruction ministérielle le 16 avril portant sur les appels à projets régionaux et nationaux.

Les outils numériques sont-ils réellement adaptés aux patients ayant plusieurs maladies chroniques ?
28 avril 2025 - 11:08,
Communiqué
- AP-HPLes applications numériques en santé sont conçues pour surveiller, traiter et accompagner les patients, mais elles ne tiennent souvent pas compte de ceux atteints de plusieurs maladies chroniques. Une étude, menée par le Pr Viet-Thi Tran (Université Paris Cité / AP-HP) et Ngan Thi Thuy Phi (Universi...

Un seul outil pour gérer l’ensemble de l’activité de la PUI et des stocks hospitaliers
28 avril 2025 - 11:01,
Communiqué
- Computer EngineeringUne application complète pour assurer à la fois l’ensemble du circuit du médicament - prescriptions, dispensations et administrations - et la gestion des stocks pharmaceutiques : c’est la promesse tenue par l’application Pharma, éditée par Computer Engineering.