CheckNews a pu authentifier et retracer l'origine des données des 500 000 patients français disponibles gratuitement sur le darknet. Elles émanent de laboratoires de biologie médicale ayant pour point commun d'avoir utilisé un logiciel baptisé Mega-Bus, désormais obsolète mais commercialisé depuis 2009 par la société Medasys, filiale de Dedalus France.
L’an passé, nous avions révélé que ce « leader européen en matière de solutions logicielles de Santé » avait licencié, pour « fautes graves », un lanceur d'alerte qui avait prévenu les autorités sur ses problèmes de sécurité, et découvert que « n'importe qui pouvait accéder à l'extranet, depuis le web. Ce qui permettait notamment d'accéder aux tickets ouverts par les hôpitaux et laboratoires clients ».
Les données auraient été volées, entre 2015 et 2020, dans une trentaine de laboratoires d'analyse médicale du Morbihan, de l’Eure, du Loiret, des Côtes-d’Armor et dans une moindre mesure du Loir-et-Cher.
Contactés, les labos sont unanimes : personne, du côté des autorités, ne les a mis au courant de cette fuite massive de données sensibles concernant leurs patients.
Dedalus France reconnaît la piste plausible : « Mega-Bus est une vieille solution. Si des clients l’utilisent toujours, ce doit être les derniers parce qu’elle n’est plus vendue ou maintenue. La plupart des clients de ce système sont en train de migrer ou ont déjà migré. »
Non content de contenir, dans la partie « Commentaires », des données médicales ultrasensibles (grossesse, traitements médicamenteux, pathologies voire séropositivité du patient), les données n'étaient pas chiffrées, au mépris des pratiques élémentaires de cybersécurité.
L'an passé, Dedalus n'avait pas daigné répondre à nos questions portant notamment sur l'absence de responsable de la sécurité des systèmes d’information (RSSI) dans l'entreprise, préférant botter en touche, et nous accuser de « chercher à ternir l'image » du groupe.
Contactés par CheckNews, d’anciens salariés de Dedalus dénoncent encore et toujours une politique de sécurité informatique jugée trop « légère », citant des systèmes « obsolètes », comme celui de Mega-Bus, ou qui ont tardé à être mis à jour. Et toujours pas de nouvelles du RSSI.
Commentaires (55)
#1
Donc en gros, Dedalus accuse les autres d’être des vilains méchants qui ne cherchent qu’à les couler, mais en même temps ne font pas grand chose concernant la sécurité des données sur les logiciels qu’ils vendent et surtout ne parlent jamais des problèmes, et surtout pas aux clients concernés quand il y en a.
Je ne sais pas pquoi, j’ai l’impression que si des clients apprennent ca, ils chercheront à vite partir ailleurs…
#1.1
pour les clients, ça dépend : si la boîte est seule sur ce marché les clients peuvent faire ce qu’ils veulent, ils n’iront pas ailleurs parce qu’ils sont liés. Alternativement, pour les clients utilisant déjà leurs systèmes, ça doit être assez compliqué de migrer (à part éventuellement en cherchant les données à migrer sur une BDD du dark web
), en plus de la conduite du changement à mener côté utilisateurs…
Je ne connais pas du tout le domaine, mais le comportement de la boîte fait penser qu’ils ne doivent pas avoir beaucoup de concurrence. Sinon ils devraient tomber très très vite.
#2
J’ai bien des idées de commentaires face à ce genre de méconnaissance mais rien de légal …
#3
Y’a moyens de savoir si on est concerné par la fuite de donnée (sans avoir à télécharger la BDD) ?
#4
À défaut de RSSI, ils ont quelqu’un pour la gestion de crises et un cabinet d’avocats??
#5
Il est impératif que les autorités préviennent les patients concernés…. Mais ce ne sera hélas jamais le cas…
#5.1
C’est au responsable de traitement d’avertir les personnes concernées de l’existence d’une violation. Et vu l’ampleur de la catastrophe, je suis à peu près certain que la CNIL va leur coller au train pour s’assurer que ça soit fait.
#6
Allez, 100 € d’amende par compte divulgué (et c’est pas cher payé)… ca devrait les faire réagir très rapidement et investir pour un vrai RSSI
=> ca bousculerait un peu ces éditeurs (pas que dans le medic…)
#7
c’est les assurances qui vont être content encore une fois.
Ils vont pouvoir mettre dans le rouge les personnes qu’ils estiment potentiellement à “danger” pour des prêts d’achat immobilier et donc mettre des taux explosifs.
#8
c’est ce que j’appel des e , franchement faut pas avoir d’étique ni meme de respect pour sortir des réponses comme sa, les gas savent qu’il n’ont pas le cul propre mais essaient de se dédouaner, qu’ils coulent et qu’il prennent un max dans leur geule !
#9
Pareil, je suis concerne particulierement par les Cotes d’Armor (Ma famille egalement)
#9.1
Dans le même cas pour moi dans le Morbihan, je suis très inquiet du contenu precis des données qui ont fuité.
#10
Quelle bande de cons.
Vire un lanceur d’alerte, né répond pas aux journalistes ou seulement pour dire “vous allez ternir notre image”, rejette la faute sur les clients (solution plus maintenu zavez qu’a upgrader), pas de RSSI (mais quelle inconscience !).
J’espère qu’ils vont payer.
#11
Comme on dit depuis environ 5 ans : cheh* !
* D’après ce que j’ai compris, ça veut dire « bien fait pour eux ! ». Mais c’est toujours regrettable pour les vraies victimes de ce piratage : les patients dont les dossiers ont été piratés…
#12
Encore faut-il pouvoir le faire car il faut d’une part des solutions concurrentes existantes, d’autre part une possibilité de récupération des données existantes.
Pas simple du tout.
#13
En l’absence de RSSI, est-ce que le patron lui-même devra venir s’expliquer en cas de procès ? Cela permettrait peut-être une restructuration de l’entreprise, avec un nouveau directeur pour assainir ces pratiques.
#13.1
faut croiser les doigts qu’un gus avec les dents un peu trop longues et “un peu naif” se fasse pas catapulter pdg-fusible au bon/mauvais moment pendant que les vraies enflures se planquent à des postes plus discrets pour continuer comme si de rien n’était après
#13.2
C’est pas prêt d’arriver. Ils convoqueront les décisionnaires de l’époque si besoin.
#14
J’ai pas tout compris. C’est Dedalus qui héberge ou le client ? Du coup, si c’est Dedalus ok,pas top. Mais si Dedalus ne maintient plus le produit, et a avertit duement les clients, en quoi ce serait ça faute?
#14.1
Il serait aussi question de migrations entre l’ancien et le nouveau systèmes (tous deux de Dedalus), effectuées par Dedalus, qui pourraient être à l’origine de cette fuite (d’après l’article de libé)
#14.2
Merci
#15
La CNIL réagit à la large fuite de données de santé relative à près de 500.000 patients, en rappelant que les organismes responsables ont l’obligation d’informer individuellement les personnes concernées
#16
La communication de Dedalus n’est pas claire, mais de toute façon en lisant ceci :«Non content de contenir, dans la partie « Commentaires », des données médicales ultrasensibles (grossesse, traitements médicamenteux, pathologies voire séropositivité du patient), les données n’étaient pas chiffrées, au mépris des pratiques de base en termes de cybersécurité, a fortiori portant sur de telles données sensibles de santé.»
Il n’est pas possible de les exonérer de responsabilité.
#16.1
Je conçois que cette partie de la fiche pacient ne devrait pas être en clair
#16.2
En fait il faut savoir que la certification HDS ne précise rien concernant le stockage chiffré des données.
Le chiffrement concerne uniquement le transfert de données via un canal public (internet).
https://esante.gouv.fr/sites/default/files/media_entity/documents/hds_referentiel_de_certification_v1.1f_mai2018.pdf
#17
Comme je disais précédemment, tant qu’on aura pas de vraies punitions (AKA prison FERME) pour les responsables (DSI/PDG au moins), ce genre de problèmes continuera…
Le baton, toujours le bâton, le pognon ils l’ont donc les amendes ils s’en carrent
#17.1
Règlementations précises, amendes sévères et appliqués et prison ferme pour les auteurs d’infractions graves, ça marchera aussi bien pour la conformité et la sécurité que pour la lutte contre la fraude fiscale et d’autres graves infractions dont certaines entreprises ont fait leur modèle.
Proposer les mêmes peines aux avocats et autres conseils recommandant d’outrepasser la loi serait également efficace.
#18
Mais en on-t-il ne serait-ce qu’un ?
#19
Toujours le même problème… on s’inquiète de la fuite de données (et c’est important) de la sécurisation mais personne ne s’inquiète du pourquoi du stockage de ces données ? Pourquoi les laboratoires conservent autant de données sur des périodes aussi longues ?
#19.1
Car les patients sont en vie et reviennent aux laboratoires d’analyses pour de nouveaux examens??
Sauf erreur, dans la loi la conservation des données médicales c’est de 10 à 50 ans après la mort du patient.
#19.2
C’est le probleme alors… Faut achever les patients pour eviter les fuites de données
#20
RSSI : Responsable Sécurité Système Information. Dans leur cas, c’est simplement SI, il n’y a ni Responsable, ni Sécurité
#21
Malheureusement le fait que la sécurité soit prise à la légère par des responsables peu scrupuleux, même si ça me fout hors de moi ça ne me surprend pas.
Ce qu’il faut voir c’est comment l’État / l’ANSSI / la CNIL pourrait empêcher ça. Aujourd’hui j’ai pas l’impression qu’ils aient assez de pouvoir ou de volonté pour empêcher ça. Ils paraissent bien peu souvent menaçants contre les mauvais élèves.
#22
Tu parles des dossiers médicaux. Là ce sont des données d’analyses et des données qualitatives qui concernent les patients d’un laboratoire d’analyse. Je ne vois pas en quoi ils devraient les conserver sur des longues périodes alors que ces données ont été transmises aux médecins prescripteurs et aux patients.
#22.1
Car les patients changent de médecins ou perdent leur résultats??
La question combien de temps une informations médicales est pertinentes? Je suppose que cela dépend du type d’information.
Le commentaire précédent dit que le CSP impose 10 ans.
#22.4
Quand tu changes de médecin il te file les informations nécessaires pour ton prochain médecin avec les données importantes. Si la pathologie nécessite un suivi sur dix ans il y a même des chances que tu repartes avec un dossier sous le bras comme ça m’est arrivé.
Et puis si tu changes de médecin sans te préoccuper du suivi de tes données je me demande si tu vas te rappeler des laboratoires qui auront fait tes analyses.
#22.5
Dans les faits ce n’est pas toujours fait.
#22.6
J’oubliais qu’on était en France et qu’il fallait que l’état soit également notre mère.
#22.7
Il faut demander son dossier médical en changeant de médecin.
Pour les analyses, radios, scanners, IRM, etc…normalement c’est vous aussi qui les détenez, et sauf à être bordélique en diable, ça ne doit pas se perdre.
#22.2
Comme indiqué il y a une obligation légale de préservation des données, par les LABM de 10 ans ensuite, avoir une base d’antériorité est importante. Les biologistes ont un devoir d’analyse et d’alerte en cas de résultats anormaux.
Après les données conservés peuvent être consultées dans le cas des procédures légale etc…
Bref la conservation des données médicale a un sens.
#22.3
Je persiste à dire que je ne vois pas à quoi ça sert. Je suis patient dans trois laboratoires différents (selon l’infirmière qui me prélève ou que je vais à côté du travail). La seule personne qui centralise c’est mon médecin.
Mon radiologue conserve les données 24 mois (c’est ce qui est marquée sur l’affiche dans la salle d’attente).
#23
En France les LABM sont obligatoirement accrédités par l’AFNOR pour pouvoir exercer. Pour cela ils doivent appliquer l’ISO 15189 qui les oblige (entre autre) à faire tout ce qui est possible pour sécuriser le SIL, les communications et les éventuelles données externalisées.
Ce qui implique que normalement ces LABM ont dus valider tous les progiciels qu’ils utilisent.
Les informations “qualitatives” indiquées dans les “commentaires” des dossiers patients sont généralement présentes afin de faciliter le travail du biologiste qui valide les dossiers médicaux, car on ne valide pas les résultats d’un patient “sain” de la même façon qu’un patient sous dialyse par exemple.
Cependant, toutes ces données y compris les champs de commentaires devraient normalement être cryptées.
Article L. 1111- 7 et L. 1142-28 du Code de la Santé Publique impose aux LABM de conserver les données pendant 10 ans.
#24
C’est un gros risque légal pour celui qui mettrait ça en place. Il faudrait que les preneurs de décisions arrivent à ne laisser aucune trace de l’ordre illégal, parce que sinon il y aura toujours une petite main qui finira par parler.
Ou alors il faudrait que ça soit très insidieux, comme à la banque Wells Fargo où des milliers d’employés avaient ouvert des comptes à l’insu de leurs clients, parce que les objectifs venus d’en haut étaient inatteignables sans frauder. Les dirigeants qui avaient indirectement incité à cette pratique avaient été blanchis et les « tricheurs » virés. Pour le cas des données de santé, je ne vois pas comment ça peut permettre d’avoir un gain à court pour les petites mains (vu qu’un risque de santé mettra statistiquement du temps à se transformer en problème financier).
#24.1
Je suis dans ce cas la depuis 2015 (quand j’ai voulue me positionner sur des appartements) et c’est la merde.
Donc le problème existe déjà. Et si en plus tu es célibataire alors la c’est le ponpon.
#24.2
Acheter un bien immobilier en étant célibataire c’est pour la banque un gros risque, cela a toujours été le cas, sauf à payer cash, et si en plus vous avez des problèmes de santé…
C’est injuste, mais de leur point de vue c’est logique. Déjà que les encours douteux doivent être provisionnés, depuis 2108, ce sont les encours sains. C’est dire si l’état de l’économie et donc du système bancaire est sur un volcan de faillites…
#25
Ou pas. Avec des montages par des sociétés de prestation hors Europe, et en n’abusant pas trop sur la différentiation des tarifs, je suis sûr que ça peut passer.
Les boîtes américaines sont très fortes pour ce genre de bidouillage, genre je m’installe une antenne à Dublin pour ne quasiment pas payer d’impôt, je facture comme un porc aux antennes locales des pays de l’UE pour ne pas être imposable, puis l’antenne irlandaise est en réalité cliente de la maison mère, évidemment domiciliée au delaware pour ne pas trop payer d’impôts aux USA non plus (“on est patriotes, mais, payer des impôts, il ne faut quand même pas abuser”), qui fait absolument ce qu’elle veut des données de ses clients.
#26
J’ai un doute : est-ce que les logiciels de gestion des résultats d’analyses biologiques et médicales ne seraient pas considérés comme étant des dispositifs médicaux (cf. règle 11 du MDR, Chapitre III, §6.3) ?
Si tel était le cas, alors les contraintes du MDR sont à prendre en compte - revue par un organisme notifié - et, le cas échéant, les autorités réglementaires peuvent sévir.
Si de tels logiciels ne rentrent pas dans le périmètre du MDR, alors, il serait temps d’en élargir son domaine d’application (j’ai bien conscience que je vais me faire des ennemis).
Aux USA, un tel logiciel rentre dans le périmètre réglementaire de 21 CFR 820 - Quality System Regulation (for medical devices) et requière une clearance de la part de la FDA.
Les automates d’analyse utilisés dans les LABM sont des équipements de diagnostic et donc, en temps que tel, des dispositifs médicaux.
MDR: Medical Device Regulation au sens du Règlement Européen 2017⁄745.
Règle 11 :
*Les logiciels destinés à fournir des informations utilisées pour prendre des décisions à des fins thérapeutiques ou diagnostiques relèvent de la classe IIa, sauf si ces décisions ont une incidence susceptible de causer:
— la mort ou une détérioration irréversible de l’état de santé d’une personne, auxquels cas ils relèvent de la classe III, ou
— une grave détérioration de l’état de santé d’une personne ou une intervention chirurgicale, auxquels cas ils relèvent de la classe IIb.
Les logiciels destinés à contrôler des processus physiologiques relèvent de la classe IIa, sauf s’ils sont destinés à contrôler des paramètres physiologiques vitaux, lorsque des variations de certains de ces paramètres peuvent présenter un danger immédiat pour la vie du patient, auxquels cas ils relèvent de la classe IIb. Tous les autres logiciels relèvent de la classe I.*
#27
Pour l’instant tout se focalise sur l’éditeur mais rien n’ai dit sur le labo. A quand remonte le dernier audit de sécurité du SI des labo ? Avoir des serveurs avec des versions obsolètes du logiciel, c’est jouer un peu avec le feu.
Chez moi (dans la santé aussi), c’est audit complet tous les 18 mois et systématique lors de mise en prod. pour toute appli pouvant accéder à Internet.
Dans ce genre de situation, il n’est pas si simple de définir les responsabilités en étant de simple spectateurs.
#27.1
La sécurité informatique c’est loin d’être une préoccupation dans le domaine médical, par manque de formation/sensibilisation, par non volonté de remplacer/faire évoluer du matos qui fonctionne à priori correctement, etc …
Je fais de la maintenance dans le milieu dentaire et ça ne fait pas si longtemps que je ne vois plus de machines sous XP chez les praticiens libéraux.
Jusqu’à encore l’an dernier j’ai même des fournisseurs qui n’assuraient pas de support sous Win10 parceque leur matos n’avait été validé que pour fonctionner avec Win7, voir Win8, et qu’ils ne voulaient pas se faire chier à certifier le matos et ses pilotes sur un nouvel OS et quand c’est sur une radio panoramique/scanner qui coûte entre 60k et 130k euros bah les praticiens gardent les vieux PC pleins de trous de sécurité (c’est d’autant plus critique dans les centres/hôpitaux/cliniques où les machines doivent être mises en réseau pour que tous les praticiens du centre puissent avoir accès aux scans)
#28
Oh tiens, une répétition de l’affaire Dedalus en vue, à une échelle autrement plus importante? https://www.politico.eu/article/data-at-risk-amazon-security-threat/
Avec whisteblowers virés comme il se doit…
#29
Pour info, une instruction judiciaire vient d’être ouverte.
Quelques taquets devraient tomber :)
#29.1
Yep, j’ai vu l’interview de Cedric O ce matin sur France info et il parle que l’info sur la fuite aurait été transmise à l’ANSSI en novembre dernier mais que pour une raison qu’il ignore les labos concernés et l’éditeurs n’ont jamais prévenu les personnes potentiellement touchées par cette fuite.
Il y a aussi enquête auprès de la CNIL pour comprendre pourquoi celle ci n’aurait pas plus mis la pression sur les concernés pour qu’ils préviennent les usagers touchés…
Et donc instruction judiciaire.
Popcorn !!
#30
Mais que fait Hadopi ? C’est en plein dans ses prérogatives de sanctionner les défauts de sécurisation
Faudrait peut être annoncer que le dossier médical d’un artiste, ou mieux encore d’un ayant droit, soit concerné pour les faire bouger
#31
Un site créer par acceis a été mis en place avec votre numéros de sécurité sociale on peut savoir perso je vais demain a la gendarmerie porter plainte pour vol de données personnelles
#32
Et lIinpactitude ?!
https://fuitededonneesdesante.acceis.fr/