Un pirate serait en possession d’une grande quantité de données médicales, dérobées à trois organismes de santé américains. Quelques signes pointent vers une légitimité de ces données, mais rien ne permet de confirmer que l’intégralité des informations est véridique.
L’histoire est apparue samedi pour la première fois sur le site Deep Dot Web. Un pirate se faisant connaître sous le nom de « thedarkoverlord » (on ne sait pas s’il s’agit d’un homme ou d’une femme) affirme posséder plusieurs centaines de milliers d’enregistrements issus de dossiers constitués par des organismes médicaux américains.
Selon les informations recueillies, les organismes touchés sont situés à Farmington dans le Missouri (48 000 enregistrements), à Atlanta en Géorgie (397 000 enregistrements) et dans le Midwest (210 000 enregistrements). Il y aurait donc au total 655 000 enregistrements, avec toute la dangerosité et la sensibilité des informations que l’on imagine.
Des données authentiques dans un échantillon
La question est évidemment de savoir si ces données sont bien ce que le pirate prétend qu’elles sont. Motherboard indique de son côté avoir obtenu un échantillon de 30 enregistrements. Selon nos confrères, « une vaste majorité » des numéros de téléphone étaient les bons, les personnes contactées confirmant l’exactitude de cette information. Et les autres ? Une seule personne a indiqué que les données étaient les bonnes : numéro de sécurité sociale, nom complet, adresse postale, date de naissance, etc.
Toujours selon Motherboard, le pirate affirme avoir déjà pour environ 100 000 dollars de données issues du piratage d’Atlanta. Les collections ont été mises en vente sur le site TheRealDeal, chacune à un tarif différent exprimé en bitcoins. Ils sont pour l’instant d’environ 152 bitcoins pour Farmington, 304 bitcoins pour le Midwest et 608 bitcoins pour Atlanta. On est loin, très loin des prix demandés ces derniers mois par les pirates avec les fuites de LinkedIn, Tumblr ou Vkontakte. Le bitcoin se négocie pour information autour de 585 euros actuellement.
Le protocole RDP comme point d'entrée
Mais quelle méthode pour récupérer ces informations ? D’après les confidences du pirate (via une conversation XMPP chiffrée), il a utilisé « une faille dans la manière dont les entreprises utilisent RDP. C’est donc un bug très particulier. Les conditions doivent être très précises ». Évidemment, sur la base de cette explication, pas question d’en savoir davantage. On ne sait pas s’il s’agit réellement d’une faille dans le Remote Desktop Protocol ou dans des facteurs tiers. Impossible également de savoir comment RDP était utilisé, mais le pirate a indiqué qu’il avait servi de point d’entrée, lui permettant ensuite de se balader sur le réseau jusqu’aux machines qui l’intéressaient vraiment.
« thedarkoverlord » a également indiqué à Deep Dot Web qu’il avait fait parvenir un message aux organismes touchés, pour donner une « leçon » : « La prochaine fois qu’un ennemi vient vous voir, vous donne l’opportunité d’étouffer tout ça et de le faire disparaître, en échange d’une petite participation pour prévenir la fuite, acceptez ». Sûr de lui, il prévient : « Il y a beaucoup plus à venir ».
Rien ne peut prouver pour l'instant l'authenticité des données
Le fait est qu’on ne sait pas, dans l’absolu, si ces données sont réellement ce qu’elles prétendent être. Le fait que Motherboard ait obtenu un échantillon de 30 enregistrements vérifiés n’est pas suffisant pour apporter une preuve irréfutable. Nos confrères ont noté que dans quelques cas, des informations n’étaient pas à jour, comme l’adresse postale. Il pourrait tout aussi bien s’agir d’un lot spécialement conçu pour pouvoir être vérifié. En attendant d’en savoir plus, la prudence reste de mise.
Commentaires (27)
#1
Patchez vos servers, bordel. Cordialement. " />
#2
5 millions de dossiers patient accessibles facilement sur Internet (même pas besoin de hacker, faut juste un peu de jugeotte)
Je pourrai demander combien de bitcoin ? " />
#3
#4
Je me demande : une fois qu’il aura reçu tous ses bitcoins, il en fera quoi ? Impossible à convertir en monnaie fiduciaire car sinon on pourrait remonter jusqu’à lui…
Du coup, je me demande l’intérêt des bitcoins dans ce cas…
#5
#6
#7
bordayl " />
" />
#8
Il pourra utiliser ses bitcoins pour s’acheter des choses, c’est le principe d’une monnaie " />
#9
Tu achètes de l’or en bitcoin, et tu pars en vacances chercher la livraison dans une maison inhabité.
J’suis pas du tout un expert du bitcoin, mais je pense que je ferais quelque chose dans le genre, après avoir brouillé les pistes avec de multiples portefeuilles et des transactions variés étalés sur la durée, voir des services de mixin.
#10
Quand on pense qu’en France, les entreprises de Santé (et beaucoup de secteurs manipulant des données personnelles) n’ont pas d’obligations de déclarer leur intrusion dans leur système informatique et leur fuite de données.
#11
Tu as également la possibilité de vendre directement un portefeuille, c’est juste un échange de clef il n’y a pas de trace dans la blockchain, car elle ne sait pas à qui appartient le portefeuille, donc elle ne peux pas tracer le changement de propriétaire.
#12
Oui en France, on n’a pas de problème de ce type " />
#13
C’est bien pour ça que les criminels 2.0 se tournent progressivement vers les eCoins en général.
#14
« une faille dans la manière dont les entreprises utilisent RDP. C’est donc un bug très particulier. Les conditions doivent être très précises ».
ou simplement MS12-020 " />
#15
Au moins celles OIV. Et il y en a quelques-unes…
#16
Je connais pas. Qu’elle est la différence ?
#17
il a intérêt à vendre très vite ses infos : si il attend un peu trop les plus malades vont crever et il n’aura les données médicales que de cadavres. " />
#18
Très récent comme mesure.
Et je doute que cela concerne les mutuelles privées.
Donc la PME de santé ou la petite clinique …
#19
Je parlais en general des monnaies cryptographiques. (bitcoin, litecoin, Ethereum, Bitshares, Peercoin…..)
#20
Ah, oui pardon " />
#21
Je crois que toutes les entreprises sont censées déclarer un intrusion ou tout du moins un vol de données :
https://www.cnil.fr/fr/notifications-de-violation-de-donnees-personnelles-une-no… " />
#22
En même temps, il y a vraiment des gens qui achèteraient un tel portefeuille ?
Parce que moi je ne l’achèterait pas : je donnes de l’argent à un criminel, certes, mais qui pourrait me dénoncer pour blanchiment d’argent s’il se fait avoir. En plus, c’est bien beau d’avoir plein de BitCoins, mais j’aurais hériter du problème qu’avait mon vendeur : si un seul de mes BitCoins permet de remonter jusqu’à moi, je suis pas bien.
En plus, je vois mal une entreprise de conversion de BitCoins en dollar ou en or me racheter les BitCoins, pour les mêmes problèmes de blanchiment d’argent…
#23
Et pourtant, je doute très fortement que la totalité des transactions soient mises en attente le temps de vérifier l’origine de chaque bitcoins. Après coup, il est trop tard, tu es partis avec ton or.
La blockchain qui trace tout, c’est juste une façade. Même si tu peux retrouver les portefeuille d’origine des bitcoins, les portefeuilles sont anonymes. Les portefeuilles ou les bitcoins peuvent avoir changé de main des dizaines de fois, ou aucune. C’est impossible à prouver.
Pour faire simple, si tu fais passer les bitcoins par 30 portefeuilles différents, il est impossible de dire si les bitcoins sont passé dans les mains de 30 personnes différentes, ou appartiennent encore à la personne qui les a eu par une transaction illégale.
Dire que tout est tracé, c’est à la fois vrai et faux. C’est comme si tu disais que le système bancaire trace tous les virements entre chaque compte, mais que les banques n’ont aucun moyen de dire a qui appartient un compte, et que les comptes peuvent changer de propriétaires des dizaines de fois sans que la banque ne puisse le voir… Dans ce contexte, niveau anonymat tout tracer ou rien tracer ça revient à peu près au même.
#24
C’est pour répondre au soucis de traçage dont tu parles que certaines monnaies proposent des systèmes de “colorisation” des “coins”, j’imagine ?
#25
Je ne pense pas.
Le soucis de traçage dont je parle est lié au fait que les portefeuilles sont anonymes.
Je comprend pas trop le système de colorisation dont tu parles, mais dans tous les cas, il ne changera pas le fait que le traçage est fait par rapport à un portefeuille (anonyme) et non une personne.
#26
Ça n’arrivera pas en France (voir le nuage de Tchernobyl).
Au fait, quand est-il du contrat passé par (AP-HP) signé entre Microsoft Irlande (pourquoi pas France ?) et le ministère de la Santé (cf.http://www.nextinpact.com/news/96401-le-contrat-a-plus-120-millions-d-euros-entr…
Non, non, pas de risques pour nous, dormez braves gens, dormez !