Un pirate serait en possession d’une grande quantité de données médicales, dérobées à trois organismes de santé américains. Quelques signes pointent vers une légitimité de ces données, mais rien ne permet de confirmer que l’intégralité des informations est véridique.

L’histoire est apparue samedi pour la première fois sur le site Deep Dot Web. Un pirate se faisant connaître sous le nom de « thedarkoverlord » (on ne sait pas s’il s’agit d’un homme ou d’une femme) affirme posséder plusieurs centaines de milliers d’enregistrements issus de dossiers constitués par des organismes médicaux américains.

Selon les informations recueillies, les organismes touchés sont situés à Farmington dans le Missouri (48 000 enregistrements), à Atlanta en Géorgie (397 000 enregistrements) et dans le Midwest (210 000 enregistrements). Il y aurait donc au total 655 000 enregistrements, avec toute la dangerosité et la sensibilité des informations que l’on imagine.

Des données authentiques dans un échantillon

La question est évidemment de savoir si ces données sont bien ce que le pirate prétend qu’elles sont. Motherboard indique de son côté avoir obtenu un échantillon de 30 enregistrements. Selon nos confrères, « une vaste majorité » des numéros de téléphone étaient les bons, les personnes contactées confirmant l’exactitude de cette information. Et les autres ? Une seule personne a indiqué que les données étaient les bonnes : numéro de sécurité sociale, nom complet, adresse postale, date de naissance, etc.

Toujours selon Motherboard, le pirate affirme avoir déjà pour environ 100 000 dollars de données issues du piratage d’Atlanta. Les collections ont été mises en vente sur le site TheRealDeal, chacune à un tarif différent exprimé en bitcoins. Ils sont pour l’instant d’environ 152 bitcoins pour Farmington, 304 bitcoins pour le Midwest et 608 bitcoins pour Atlanta. On est loin, très loin des prix demandés ces derniers mois par les pirates avec les fuites de LinkedIn, Tumblr ou Vkontakte. Le bitcoin se négocie pour information autour de 585 euros actuellement.

Le protocole RDP comme point d'entrée

Mais quelle méthode pour récupérer ces informations ? D’après les confidences du pirate (via une conversation XMPP chiffrée), il a utilisé « une faille dans la manière dont les entreprises utilisent RDP. C’est donc un bug très particulier. Les conditions doivent être très précises ». Évidemment, sur la base de cette explication, pas question d’en savoir davantage. On ne sait pas s’il s’agit réellement d’une faille dans le Remote Desktop Protocol ou dans des facteurs tiers. Impossible également de savoir comment RDP était utilisé, mais le pirate a indiqué qu’il avait servi de point d’entrée, lui permettant ensuite de se balader sur le réseau jusqu’aux machines qui l’intéressaient vraiment.

« thedarkoverlord » a également indiqué à Deep Dot Web qu’il avait fait parvenir un message aux organismes touchés, pour donner une « leçon » : « La prochaine fois qu’un ennemi vient vous voir, vous donne l’opportunité d’étouffer tout ça et de le faire disparaître, en échange d’une petite participation pour prévenir la fuite, acceptez ». Sûr de lui, il prévient : « Il y a beaucoup plus à venir ».

Rien ne peut prouver pour l'instant l'authenticité des données

Le fait est qu’on ne sait pas, dans l’absolu, si ces données sont réellement ce qu’elles prétendent être. Le fait que Motherboard ait obtenu un échantillon de 30 enregistrements vérifiés n’est pas suffisant pour apporter une preuve irréfutable. Nos confrères ont noté que dans quelques cas, des informations n’étaient pas à jour, comme l’adresse postale. Il pourrait tout aussi bien s’agir d’un lot spécialement conçu pour pouvoir être vérifié. En attendant d’en savoir plus, la prudence reste de mise.