Que deviennent vos données de santé piratées ?
Le nouveau piratage d’un hôpital par des spécialistes malveillants du rançonnage numérique ne doit pas faire oublier les données qu’ils ont pu voler. ZATAZ vous montre ce que deviennent les informations des employés et/ou de patients. Et ce n’est pas joli.
Hôpital de Dax, hôpital de Vitry-le-François, hôpital de Castelluccio, le Centre Hospitalier d’Arles, dernièrement le Groupe Hospitalier Cœur Grand-Est, le Centre Hospitalier de Corbeil-Essonnes, ou encore des EPHAD. Bref, des piratages à la résonnance particulière, ils visent des établissements de santé, donc des hommes, des femmes, des enfants obligés de changer de centre de soin. En France, les établissements public ne payeront jamais des rançons réclamées par des pirates.
D’abord, il n’y a pas d’argent. Ensuite, l’argent demandé n’est pas prévu dans les budgets votés pour l’année en cours !
En ce qui concerne les établissements privés, la position est tout autre. ZATAZ a connu des professionnels de santé payer le silence des pirates. Aux USA par exemple, nous sommes alors en 2016 à Los les, le Hollywood Presbyterian Hospital va payer plus de 170 000$ à ses ravisseurs numériques. Hier, comme aujourd’hui, les pirates exfiltrent, copient, toutes les données qu’ils vont croiser dans leur visite malveillante. Mais si une entreprise, de santé ou non, publique ou privée, ne paie pas, que deviennent ces données ?
La foire aux données chez les pirates informatiques
Des dizaines de personnes, journalistes ou non, m’ont posé la même question. Que deviennent les données piratées ? Qu’elles sont des informations appartenant aux employés, aux patients, aux partenaires, les pirates vont les trier, les analyser et les utiliser.
Par utilisation, plus choix vont s’ouvrir à leur marketing de la malveillance. Les adresses électroniques vont être exploitées dans de futurs phishing et cyber attaques de type rançonnage.
Les numéros de téléphones pourront être exploités dans des fraudes au CPF par exemple.
Les données de santé ? L’analyse des malveillants pour être exploitée à recherches des personnalités politiques ou du monde économique et industriel. Ici, tout sera possible : espionnage, escroquerie, mise en place d’une fraude aux faux virement (FoVI), etc.
Les pirates pourront aussi, tout « simplement », revendre les données qu’ils auront trié. Un exemple, parmi de nombreux lieux pirates que le Service Veille ZATAZ surveille pour le compte de particuliers et d’entreprises : le Groupe Hospitalier Cœur Grand Est – GHT (CH Haute-Marne, Saint-Dizier ou encore Vitry-Le-François pour ne citer qu’eux).
Sur le site du GHT, un message concernant un appel à la vigilance des usagers. Impossible de cliquer sur la fenêtre, je suis obligé de trouver la page « actualité ». Soit, mais vraiment pas pratique pour l’utilisateur lambda.
Je me rends donc sur la page actualité, et … aucune information sur le sujet. J’aurai bien cliqué sur la seconde page, mais une erreur m’empêche de lire la potentielle alerte du groupe hospitalier. En lieu et place, un laconique message d’erreur 404 : « La page que vous recherchez n’existe pas« . Bref, un internaute ne passera pas autant de temps que moi pour trouver l’info.
Et du côté des pirates, des nouvelles ? Malheureusement oui !
Le Service Veille ZATAZ a pu retrouver TOUTES les informations volées par les maîtres chanteurs. Après avoir réclamé sans trop réfléchir, plus d’un million d’euros de rançon, les pirates ont changé de méthodes et on décidé de vendre, morceau par morceau, fichier par fichier, les données volées.
Les pirates ont collecté ces informations le 17 et 18 avril 2022. Ils parlaient alors de données personnelles des patients, de numéros de sécurité sociale, de scans de passeport, d’informations bancaires, de courriers, de numéros de téléphone, etc. Cinq mois plus tard, que sont devenues les données personnelles exfiltrées par les pirates ? Les RIB et autres relevés d’identités bancaires volés au GHT sont vendus 4$ pièce. Un accès aux fichiers « licenciements » ; 4 $ le PDF. Accès aux diplômes : 4 $. Une fiche patient ? 4 $ (et il y en a des centaines). Un passeport ? 4 $.
Vous l’aurez compris, les données sont triées, utilisées, revendues. Et plus rien ne pourra arrêter cette fuite en avant de données personnelles. Retrouvez mon analyse proposée sur l’antenne de la chaîne de télévision CNews ou encore sur Radio France International ou France Info.
Le Service Veille ZATAZ surveille plus de 300 000 espaces pirates (discord, Telegram, IRC, blackmarket, groupes de malveillants) et il ne faudra pas 365 jours pour retrouver certaines des données volées dans ces lieux malveillants.
Que faire ?
Très honnêtement, pas grand chose. La CNIL rappelait en février 2021, à la suite d’une découverte de ZATAZ et de plus de 400 000 données de santé volées par un pirate, que « Les organismes responsables ont l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne« . Faut-il encore que l’entreprise soit au courant de ce qui lui a été volé !
Pour les clients/patients/partenaires : déposer plainte, alerter votre banque, votre mutuelle, votre famille, votre médecin, votre infirmière, changer de pièce d’identité (CNI, passeport), de mail et de téléphone (et toutes les contraintes attenantes à ces changements), d’adresse postale (impossible), d’hôpital, de numéro de sécurité social (impossible), etc.
Bref, vous l’aurez compris, il n’y a plus grand chose à faire à part veiller à ce que ces données ne soient pas exploitées par des pirates !
Salut Damien, merci pour ton article. Ce serait cool si tu pouvais aller plus loin en expliquant l’intérêt des pirates à acheter ces données disponibles sur le Darknet. 😉
Bonjour,
Le sujet a été plusieurs fois sur zataz, mais l’idée de mettre à jour est une excellente idée.
A suivre 🙂
Pingback: ZATAZ » Comment la MFA vous aide à protéger vos données de santé ?