Amende CNIL : 1,5 million d’euros à l’éditeur de logiciel Dedalus

Février 2021, ZATAZ révélait la découverte de centaines de milliers d’informations de patients français commercialisés, puis diffusés gratuitement par des pirates informatiques. Un an plus tard, la CNIL sanctionne l’entreprise fuiteuse à 1,5 millions d’euro d’amende. Pendant ce temps, les données courent toujours !

Le 15 avril 2022, la formation restreinte de la CNIL a sanctionné la société DEDALUS BIOLOGIE d’une amende de 1,5 million d’euros, notamment pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes.

Une affaire qui a débuté voilà 1 an.

25 janvier 2021, ZATAZ révélait la découverte d’un business pirate mettant en jeu près de 500.000 données de patients français. Je vous expliquais à l’époque comment des pirates s’étaient disputés la commercialisation de données volées. L’un d’eux, du nom de Maître des datas (sic!) s’était vengé de ces anciens camarades en diffusant gratuitement certains fichiers, dont les données de santé en question. Des données qui seront diffusées sur plusieurs sites pirates : Russe, Portugais et Anglophone.

Le journal Libération va m’aider à retrouver le fuiteur un mois plus tard.

Trois exemples de diffusions pirates différentes de la base de données des 500.000 patients français.

Dès le 24 février 2021, la CNIL a effectué plusieurs contrôles, notamment auprès de la société DEDALUS BIOLOGIE qui commercialise des solutions logicielles pour des laboratoires d’analyse médicale. Le gendarme de la vie privée faisait bloquer, dans la foulée, le lien qui permettait de télécharger le fichier malveillant. Un blocage qui ne visait pas que le lien de téléchargement, mais l’intégralité du site qui hébergeait le fichier. J’appellerai ce lieu de stockage SQL.

Un détail « rigolo« . Il était possible de reconnaitre les « pirates » français dans certains forums de voyous 2.0. Ils se plaignaient de ne pas pouvoir télécharger des fichiers hébergés par SQL. Et pour cause donc 🙂

Le 15 avril, la CNIL condamnait l’entreprise pour la gravité des manquements retenus : un manquement à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement (article 29 du RGPD) ; manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) ; manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD).

Une affaire qui ne finira jamais pour les 500.000 français et leurs données volées. Je vous révélais fin janvier 2022 comment le Service Veille ZATAZ avait repéré cette base de données dans les mains de nouveaux pirates. Ces derniers s’en servaient comme échantillon pour vanter leur blackmarket !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.