Industrie pharmaceutique

Libération - Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne

Février 2021, par Info santé sécu social

Selon les spécialistes, la fuite est d’une ampleur inédite en France pour des données ayant trait à la santé. Le fichier en question, que « CheckNews » a pu consulter, contient l’identité complète de près d’un demi-million de Français, souvent accompagnée de données critiques, comme des informations sur leur état de santé ou même leur mot de passe. Initialement partagée sur des forums de pirates informatiques, cette base de données est de plus en plus largement diffusée.

par Fabien Leboucq, Florian Gouthière, Vincent Coquaz et Alexandre Horn
publié le 23 février 2021

Le fichier comporte 491 840 lignes. Pour presque autant de patients français. A chaque ligne, jusqu’à 60 informations différentes sur une même personne : numéro de Sécurité sociale, date de naissance, groupe sanguin, adresse, numéro de téléphone portable, médecin prescripteur, etc. Un commentaire précise parfois l’état de santé. « Grossesse » revient souvent. Dans certains cas, des traitements médicamenteux ou des pathologies sont précisés : « Levothyrox », « tumeur au cerveau », « séropositif HIV » ou « patiente sourde ».

Autant d’informations personnelles, intimes, regroupées dans un document apparu il y a quelques jours dans des cercles de pirates informatiques et d’experts en cybersécurité. Et qui circule de plus en plus largement. CheckNews, qui a consulté ces données, a pu en retracer l’origine et le parcours.

Accessibles sans contrepartie financière
Le fichier est repéré pour la première fois par Damien Bancal. Ce vétéran du Web écrit un article sur le sujet le 14 février sur Zataz, le blog qu’il anime depuis plus de vingt ans. « Ces presque 500 000 lignes de données étaient mentionnées dans une discussion entre des pirates informatiques sur une chaîne Telegram turque, détaille-t-il à CheckNews. Ils les présentaient comme provenant d’un hôpital. L’un d’entre eux est un pirate turc assez connu pour la vente de données, il en a fait un vrai business depuis pas mal de temps. »

Sauf que ces données-là n’ont vraisemblablement pas été vendues, mais diffusées gratuitement. « C’est un fichier à valeur forte avec des noms, des adresses, des coordonnées, des numéros de Sécurité sociale. En plus de la fuite en elle-même, le fait que ces informations aient été mises en ligne gratuitement est extrêmement perturbant et inquiétant », s’étonne Baptiste Robert, chercheur en cybersécurité, qui a appris l’existence du fichier quelques jours après sa mise en ligne. Plusieurs de nos interlocuteurs se demandent si les données mises en ligne représentent l’intégralité d’un fichier informatique, perdu ou volé, ou seulement une partie.

Pourquoi ces données ont-elles été rendues accessibles sans contrepartie financière ?
Une histoire de rivalité entre hackers selon Damien Bancal : « De ce que j’en sais, au moins quatre pirates ont cherché à les commercialiser. Mais ils se sont disputés publiquement sur plusieurs chaînes Telegram. Pour se venger, l’un d’eux a diffusé au moins un extrait. » En rendant accessible ces documents, le pirate leur enlève toute valeur marchande. Et aggrave l’ampleur de la fuite. Les partages du fichier se multiplient d’abord sur des chaînes Telegram spécialisées dans la vente de données et sur le Dark Web, jusqu’à apparaître ces derniers jours sur des forums et des réseaux sociaux plus traditionnels.

Pour s’assurer de l’exactitude de cette base, CheckNews a contacté de façon aléatoire divers docteurs qui y figurent. Tous nous le confirment : les données sont authentiques. Les numéros d’identification de médecin sont les bons et les noms qui figurent dans le document correspondent bien à leur patientèle. Dans ce fichier apparaissent aussi des dates : elles correspondent aux jours où ces personnes ont effectué une analyse dans un laboratoire de biologie médicale.

Un médecin de la région de Vannes nous a ainsi confirmé que la cinquantaine de membres de sa patientèle présents dans le document ont tous effectué un prélèvement biologique, aux dates indiquées, dans divers établissements proches de son cabinet. Auprès d’un patient qui apparaît dans la base, nous confirmons également que la date mentionnée correspond non pas à une consultation avec son docteur, mais bien à une date de prélèvement en labo. Le nom du praticien qui a réalisé son examen réapparaît plus de 800 fois dans la base. Hervé Morin, ancien ministre de la Défense, qui figure dans ce fichier en tant que patient, tonne : « C’est ahurissant, je ne suis au courant de rien. » Et d’esquisser la possibilité d’une plainte au pénal.

« Comment est-il possible que personne ne nous ait mis au courant ? »
Tous les médecins interrogés s’inquiètent que ces informations circulent en ligne : « Tout ça relève du secret médical ! Comment est-il possible que personne ne nous ait dit que ces données étaient dans la nature ? » s’affole une médecin de campagne du Morbihan, dont près de 700 patients apparaissent dans le fichier.

Cette fuite n’est pourtant pas de la responsabilité des médecins. Contrairement à l’hypothèse émise par les pirates informatiques qui ont fait circuler ces données, elles ne proviennent pas d’hôpitaux ni de cabinets médicaux. Notre enquête nous a permis d’aboutir à la conclusion que les entrées de la base correspondent en fait à des données médico-administratives de soins renseignées par des laboratoires de biologie médicale. Plusieurs colonnes correspondent ainsi à des informations utiles aux procédures de ces établissements, comme le « nom du préleveur » ou différents codes d’identification de la structure.

Ce qui rend la fuite encore plus grave, c’est que plusieurs laboratoires, dans la partie « commentaires », ont ajouté à des données administratives des données médicales ultrasensibles : grossesse, traitement (notamment lorsque le patient prend des médicaments qui nécessitent des bilans sanguins particuliers) voire séropositivité du patient. Ces informations confidentielles peuvent correspondre « à des précautions à prendre lors du prélèvement », nous indique une médecin. « Pour un patient qui se déclare [positif au VIH], beaucoup de laboratoires appliquent des protocoles plus stricts au moment du prélèvement. Ça peut expliquer cette mention, avance la généraliste. Mais ça n’est pas pour autant qu’elle est justifiée : les labos pourraient simplement renseigner “protocole infectieux”. Mentionner VIH+ dans un champ libre est un choix délibéré, qui est critiquable non seulement car il est totalement inutile – la plupart des gens qui savent qu’ils ont ce virus sont traités et sont beaucoup moins à risque de le transmettre que ceux qui ignorent l’être – mais aussi parce qu’on prend le risque d’exposer une donnée à caractère particulièrement sensible… Il faut qu’on apprenne à ne pas consigner de façon inutile des informations qui peuvent être préjudiciables ! »

« C’est gravissime. Mais ça nous pendait au nez »
Les résultats d’analyses (ou le dossier médical du patient) ne sont pas directement accessibles dans la base de données, mais on retrouve de nombreux identifiants et mots de passe, permettant vraisemblablement de se connecter à des « espaces patients » des laboratoires, et donc d’accéder à ces résultats. Compte tenu de leur structure, ces mots de passe semblent choisis par les utilisateurs (et non générés aléatoirement par les laboratoires) : ils peuvent donc potentiellement être utilisés pour avoir accès à d’autres services, comme leur boîte mail, s’ils utilisent le même.

« C’est gravissime pour de telles données, s’alarme Mickael Behrens, qui commercialise des logiciels de gestion pour les professionnels de santé au sein du groupe Grenat. Je n’ai jamais eu connaissance d’une fuite aussi massive en France. Mais ça nous pendait au nez. Il y a tellement de mauvaises pratiques dans le secteur… » Baptiste Robert abonde : « A ma connaissance, une telle quantité de données de santé rendue publique de cette manière, ça n’a pas de précédent. »

L’ampleur et le caractère sensible des informations de santé rendent cette fuite particulièrement dangereuse. Les personnes y figurant sont des cibles de choix pour du phishing personnalisé (envoi de faux message ou de faux documents pour récupérer des informations personnelles ou de l’argent) : d’éventuels pirates disposent désormais de leur numéro de Sécurité sociale, du nom de leur médecin prescripteur, de la date de leur examen, du nom du laboratoire ou encore dans certains cas d’informations médicales. La nature des données personnelles compilées sous-tend également des risques d’usurpation d’identité, de fausses ordonnances (qui peuvent utiliser les noms des médecins), de messages de détresse factices reprenant les problèmes de santé mentionnés, etc. Pour des cybercriminels, le potentiel de ce fichier est vertigineux.

Selon nos informations, les données proviennent d’une trentaine de laboratoires de biologie médicale, que CheckNews a pu identifier. Ils sont surtout situés dans les départements du Morbihan, de l’Eure, du Loiret, des Côtes-d’Armor et dans une moindre mesure du Loir-et-Cher. Les dates des prélèvements s’étalent de 2015 à octobre 2020. Mais l’immense majorité des quelque 500 000 patients que recense la base ont effectué leurs analyses en 2018 ou 2019.

Les laboratoires contactés ces derniers jours par CheckNews sont unanimes : personne, du côté des autorités, ne les a mis au courant de cette fuite massive de données sensibles concernant leurs patients. L’Agence nationale de la sécurité des systèmes d’information (Anssi) est pourtant au courant de l’existence de cette base de données depuis la fin de semaine dernière au moins. Un seul laboratoire aurait été contacté par l’instance à propos d’une fuite de données en 2020, sans que l’on sache s’il s’agit de la même. Contactée à plusieurs reprises par CheckNews, l’Anssi n’a pas répondu à nos questions.

Dedalus rejette la faute
En plus d’être implantés dans le quart nord-ouest de la France, ces laboratoires partagent un autre point commun : tous ceux que nous avons sollicités utilisent ou ont utilisé un même logiciel de saisie de renseignements médico-administratifs, commercialisé par Dedalus France, filiale française du leader européen du secteur. Selon nos informations, les laboratoires touchés par la fuite avaient fait le choix de conserver les données sur des serveurs situés dans leurs locaux (et non auprès d’un hébergeur tiers habilité pour les stocker). Ce choix implique que c’est Dedalus qui installe et maintient ce parc informatique pour le compte des établissements.

Contacté, Didier Neyrat, le directeur général délégué de Dedalus, a assuré ne pas être au courant de cette fuite : « Le fait que vous nous évoquez nous est inconnu. Il faut être relativement humble vu ce qui se passe actuellement, comme les attaques de certains hôpitaux : le passé a montré que personne n’était à l’abri. Il y a même des organismes américains de très haut niveau qui ont été touchés. Malheureusement, on ne peut pas certifier qu’on ne sera jamais attaqué. »

Selon notre enquête, les soupçons portent plus spécifiquement sur une solution informatique baptisée Mega-Bus, commercialisée depuis 2009 par la société Medasys. Celle-ci fait partie du groupe Dedalus depuis 2016, et porte le nom de Dedalus France depuis mars 2019. Selon nos informations, ce logiciel, qui n’est plus mis à jour, a été progressivement abandonné ces dernières années. Pour l’ensemble des laboratoires concernés par le vol de données et contactés par CheckNews, les renseignements dévoilés concernent des personnes ayant été prélevées à une période durant laquelle les laboratoires utilisaient Mega-Bus. Et aucun patient ayant fait des analyses après l’abandon de la solution informatique par les laboratoires ne figure dans le fichier volé.

Interrogé sur l’hypothèse Mega-Bus, Dedalus France reconnaît qu’elle est plausible : « Les clients que vous nous avez cités sont des clients qui ont migré d’une version Mega-Bus vers un autre système d’information de laboratoire, Dedalus ou non, confirme son patron. Mega-Bus est une vieille solution. Si des clients l’utilisent toujours, ils sont sûrement les derniers parce qu’elle n’est plus vendue ou maintenue. La plupart des clients de ce système sont en train de migrer ou ont déjà migré. »

Didier Neyrat estime que le problème qui a pu conduire à la fuite des données a peut-être eu lieu justement lors de ces migrations : « Quand ils passent d’un système vers un autre, les laboratoires [nous] demandent généralement une extraction des données administratives pour être capable de garder les informations de leurs clients (adresses, contacts etc.) » Pour cela, Dedalus télécharge la base de données du laboratoire puis l’éditeur du nouveau logiciel la récupère. Pour l’essentiel des établissements concernés par la fuite, ce nouvel éditeur est également Dedalus. Mais l’entreprise rejette la faute sur… les laboratoires : « Si le réseau du client, à un moment donné, n’est pas sécurisé, il peut y avoir un moment où le fichier est disponible. Ce n’est pas une faille du logiciel : c’est un moment particulier où les données ne sont plus dans le logiciel mais dans un fichier », poursuit Didier Neyrat. Reste que « la migration a été effectuée par un intervenant Dedalus qui est venu chez nous, pour passer d’un système Dedalus vers un autre système Dedalus », met en avant la responsable d’un centre concerné.

Politique de sécurité informatique « trop légère »
Par ailleurs, des informations aussi sensibles pourraient, ou devraient, être protégées, notamment grâce au chiffrement. Celui-ci permet de rendre impossible la lecture de données à une personne qui n’en a pas la clé de déchiffrement. C’est une procédure de sécurité informatique qui permet, en cas d’intrusion ou de vol de données, d’empêcher que celles-ci soient lues, utilisées, vendues. Cette garantie de protection est conseillée voire obligatoire dans certains cas. « Il est très probable que ces données-là n’étaient pas chiffrées dans le système de base, estime Baptiste Robert. Ou alors quelqu’un en interne avait la possibilité d’y accéder et de les déchiffrer. Mais comment un employé aurait pu accéder aux données de 500 000 personnes sans que quiconque ne réagisse ? Dans tous les cas, ça pose la question du stockage. »

De fait, « les salariés de Dedalus ont accès aux serveurs et aux bases de données clients puisque ce sont eux qui les gèrent, avance un expert du secteur. Par exemple, certains salariés peuvent récupérer les fichiers à distance pour travailler dessus. En principe, ces données devraient être anonymisées. Mais beaucoup de développeurs récupèrent les données non anonymisées et bossent ensuite de chez eux sur ces bases, depuis un ordinateur et un réseau wi-fi personnels et non sécurisés. Ce qui est potentiellement illégal quand l’entreprise n’est pas habilitée pour ça ».

Contactés par CheckNews, d’anciens salariés de Dedalus dénoncent assez largement une politique de sécurité informatique jugée trop « légère », citant des systèmes « obsolètes », comme celui de Mega-Bus, qui ont tardé à être mis à jour.

L’entreprise a d’ailleurs reconnu avoir été victime d’une attaque informatique le 2 décembre 2020 « sur les infrastructures d’un de ses sites, situé à Mérignac (Gironde) ». Une attaque de type rançongiciel (logiciel qui bloque l’accès aux données d’une structure jusqu’au paiement d’une rançon), sans aucune fuite selon l’entreprise. L’année dernière, le site NextInpact révélait que Dedalus avait renvoyé un de ses salariés, peu après que celui-ci a alerté de l’existence de failles de sécurité qui concernaient notamment des logiciels destinés aux laboratoires de biologie médicale. « Ce sont des choses qui étaient soit erronées, soit des choses qui n’avaient rien à voir » avec des données de patients, assure de son côté le patron de Dedalus France.