« Fuite de données de santé de l’AP-HP : que pouvez-vous faire si vous êtes concerné ? », questionne la CNIL, avant d’apporter plusieurs éléments de réponses suite à cet incident de sécurité.
Déjà, l’autorité déconseille aux personnes de chercher à consulter un tel fichier, d’autant que « lorsque la violation de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer directement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne ».
Voilà pourquoi de nombreuses personnes ont reçu des courriers de l’AP-HP pour les alerter. La CNIL, pour sa part, « n’est pas en mesure de vous informer de la présence de vos données dans ce fichier ».
En attendant, les risques pour les personnes concernées sont nombreux avec en tête phishing et usurpation d’identité. Pour ce dernier cas, la Commission recommande de se rendre sur cybermalveillance.gouv.fr (voir la fiche sur cette fuite) voire de porter plainte.
« Si l’usurpation est confirmée, demandez auprès des services de la CNIL une consultation du fichier des comptes bancaires (FICOBA) afin de savoir si des comptes ont été ouverts à votre nom par l’escroc. »
Commentaires (9)
#1
Une article intéressant sur ce sujet dans Le Monde:
https://www.lemonde.fr/pixels/article/2021/09/21/comment-les-donnees-de-1-4-million-de-franciliens-testes-pour-le-covid-19-se-sont-retrouvees-dans-la-nature_6095455_4408996.html
#1.1
C’est quand même bien de lire NXI. On a des infos détaillées sur les attaques informatiques. Merci du lien.
C’est le cas pour cet envoi, qui concerne des données de tests, principalement de Franciliens, réalisés sur une période de cinq mois, entre juin et octobre 2020.
Je pourrais être concerné par la “fuite” ayant effectué un test en IdF en juillet, mais je n’ai pas (encore ?) eu de mail de la part de l’AP-HP.
Si j’en reçois un, je vais peut-être bien porter plainte pour non protection de données de santé et non effacement de ces données inutiles dans les jours qui suivent leur transfert, parce que le vrai problème est là en fait : les données étaient encore disponibles un an plus tard.
En tout cas, si NXI cherche à embaucher, il a l’air pas mal, l’auteur de cet article : Martin Untersinger.
#1.2
J’ai reçu aujourd’hui un courrier postal m’indiquant que je suis concerné par la fuite.
En essayant de me souvenir, j’avais consulté le résultat sur le site du labo, mais sans avoir donné mon adresse mail. Ils m’avaient donné un petit papier avec un identifiant et l’adresse de leur site. Comme ça les méchants voleurs de données n’ont pas mon adresse mail et ont une adresse postale qui n’est plus valable et pour laquelle le courrier ne sera plus transféré fin octobre.
Je vais d’abord leur demander des informations complémentaires, leur courrier étant un peu léger.
En plus, ils se mélangent dans les articles du RGPD. Ils disent : “Cet incident a été notifié à la commission nationale de l’informatique et des libertés (CNIL), comme prévu par l’article 34 du règlement européen sur la protection des données (RGPD).” alors que c’est l’article 33 qui demande de notifier la violation à la CNIL. L’article 34, lui, demande de nous prévenir, nous personnes dont les données ont été violées.
Quels charlots quand même ! Autant pour leur méconnaissance de du RGPD que sur l’exposition aux risques de piratage beaucoup trop longue de données personnelles médicales : le service a été utilisé jusqu’en octobre 2020 mais ils n’ont coupé l’accès à ces données qu’en septembre 2021 après avoir eu connaissance du viol des données le 12 septembre !
#2
Je fais partie de la fuite de données. Je ne suis pas très inquiet pour les tentatives de phising, mais j’avoue que je ne suis pas serein quant à l’usurpation d’identité. Je croise les doigts (et je reste vigilant) pour que ça n’arrive pas.
Merci pour le lien cybermalveillance.gouv.fr je le garde de côté
#3
Mais quelles conséquences légales / judiciaires? Je suis dans la liste qui a fuité, et j’aimerais bien qu’on arrête avec ce genre de sketch. La seule façon, c’est que les responsables soient durement sanctionnés…
#4
Le souci ici c’est que c’est une faille 0-day via HCP Anywhere qui est utilisé dans le cadre de Dispose (l’équivalent de la Dropbox de l’APHP), il n’y a pas un seul responsable. La DSI de l’APHP a renvoyé un mail pour dire que la brèche avait été colmatée et que on pouvait de nouveau utiliser le service Dispose.
#4.1
Donc ils considèrent que partager des données en clair, avec la simple protection d’un mot de passe limitant la possibilité de téléchargement, c’est suffisant ?
Si le fichier avait été chiffré (GPG, ou même un simple zip avec mot de passe s’il est chiffré en AES256), la faille n’aurait eu aucun impact.
#5
L’informatique devient un enjeu critique de nos sociétés…
“Si l’usurpation est confirmée, demandez auprès des services de la CNIL une consultation du fichier des comptes bancaires (FICOBA) afin de savoir si des comptes ont été ouverts à votre nom par l’escroc.”
Bon courage pour les contacter…
https://www.cnil.fr/fr/ficoba-fichier-national-des-comptes-bancaires-et-assimiles
“Comment obtenir communication et / ou rectification des données ?
La loi Informatique et Libertés étant exclusivement applicable aux personnes physiques, les personnes morales ne disposent pas d’un droit d’accès au fichier FICOBA.”
Ah ben merde alors…
#6
Personnellement, je ne connais pas de personnes morales qui ont fait un test Covid, il y a assez peu de risque qu’elles se soient faites usurper leur identité pour ouvrir un compte à leur nom. Qu’elles ne puissent pas accéder au fichier Ficoba pour vérifier, ne me semble pas génant !