Publicité en cours de chargement...
Dark Web : quand les données d’établissements de santé alimentent le black market
Il y a tout juste deux ans, CybelAngel révélait sur son blog la vente d’une base de données de dossiers médicaux concernant près de 10 millions de patients [1].
Il semblerait que le phénomène n’ait fait qu’accroître depuis cette révélation.
Selon les chercheurs de Cynerio, les ventes d’informations médicales sur le dark web sont de plus en plus courantes, ce qui aurait d’ailleurs fait baisser les prix des données de santé vendues au marché noir. Fatale loi de l’offre et de la demande… Le prix des données de santé reste malgré tout, toujours plus élevé que des données bancaires.
Parmi les phénomènes récents qu’ils ont observés, la vente de dossiers médicaux d’enfants mineurs dérobés à des pédiatres. Le vendeur précise qu’il s’agit d’enfants de bonnes familles, ayant les moyens de prendre en charge des frais médicaux. On peut donc imaginer plusieurs scénarios d’escroqueries avec de bonnes chances de réussite.
Autre précision étonnante de la part d’un vendeur d’une base de données contenant les dossiers médicaux de 140 millions de patients, quand même ! 60 000 patients de cette base de données seraient décédés.
Alors vous vous demandez peut-être quel est l’intérêt d’obtenir le dossier médical et l’état civil d’une personne décédée ? Tout simplement car en cas de fraude, en usurpant l’identité d’un mort, il y a peu de chance que celui-ci porte plainte.
Au delà des fraudes financières, les chercheurs de Cynerio révèlent qu’ils ont pu observer des échanges entre un acheteur potentiel et le vendeur, dans lesquels ce dernier expliquait comment obtenir des médicaments prescrits, commander des médicaments ou du matériel médical et même prendre rendez-vous chez un médecin pour une consultation en utilisant les données d’un patient décédé.
Aux États-Unis, mais pas que…
Ils ont également pu constater la vente de données de santé appartenant à des patients Australiens. Pour peu qu’ils aient été utilisateurs du service de prise de rendez-vous en ligne HealthEngine… [2]
Des pirates implantés dans le SIH…
Peut-être plus inquiétant encore, au delà de la vente d’informations médicales dérobées à des établissements de santé, ils ont également pu constater lors de la vente d’une prestation de service malveillant d’envoi de courriels, que le vendeur proposait parmi les serveurs SMTP sur lesquels il disposait d’un accès, le serveur d’un hôpital. Ce qui peut donc laisser supposer, qu’il dispose d’un accès illégitime au SIH d’un ou plusieurs établissements de santé…
Je ne crois pas que ce soit demain la veille que les RSSI santé puissent s’ennuyer...
[1] https://blog.cybelangel.com/un-pirate-vend-les-dossiers-medicaux-de-10-millions-de-patients/?lang=fr
[2] /article/3025/rendez-vous-medicaux-en-ligne-et-donnees-personnelles-le-scandale-australien.html
Sources :
http://cynerio.co/healthcare-hacking-trends-dark-web/
https://threatpost.com/deceased-patient-data-being-sold-on-dark-web/133871/
Avez-vous apprécié ce contenu ?
A lire également.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
02 mai 2025 - 16:13,
Tribune
- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic AssociésPar décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...