Dans un rapport publié le 22 février, la start-up cyber française CybelAngel dévoile des exemples de trafic de données hospitalières sur le darknet, avec notamment un fichier de 500 000 patients français, rapporte Challenges.
Le document donne trois exemples précis, identifiés sur des forums cybercriminels anglophone, russe et français, et connus pour revendre des bases de données volées.
Le plus étonnant, et impressionnant, est une base de données de « 500 000 données hospitalières françaises » mise en ligne gratuitement, alors qu'elle pourrait rapporter plusieurs milliers d'euros.
Le document inclut notamment leurs « nom, prénom, adresse email, numéro de téléphone et données de santé de patients (numéro de sécurité sociale, groupe sanguin, médecin traitant, etc) », et même certains examens médicaux effectués.
Les données, précédemment vendues à des clients, avaient en effet ensuite été remises sur le marché par ces derniers. Pour les punir, le fournisseur a décidé de les rendre publiques, gratuitement. « Le partage continuera tant que certains revendront ce qu'ils m'ont acheté », explique-t-il.
CybelAngel n'exclut pas que certains fichiers mis en vente aient été récupérés lors d'attaques contre des hôpitaux ou des mutuelles, comme la Mutuelle nationale des hospitaliers (MNH), objet d'une cyberattaque début février.
Commentaires (34)
#1
Je comprends que des données personnelles puissent être intéressant pour du ciblage publicitaire. Mais je ne voie pas trop ce qu’il peuvent faire avec des numéros de sécu, groupe sanguin, etc… Quelqu’un aurait une idée du réel intérêt que peuvent trouver des personnes / groupes / sociétés à acheter ceci ?
#1.1
Pour de l’hameçonnage ?
Ça peut peu-être aussi intéresser les assurances de prêts, pour vérifier l’état de santé des emprunteurs…
Edit : arf, doublement grillé, le temps de lire les autres brèves
#2
Ca peut servir à faire du phishing bien ficelé.
Quelqu’un qui a énormément d’infos très personnelles que normalement seul un hôpital ou un médecin possède peut assez facilement se faire passer pour quelqu’un de confiance.
Du genre “bonjour monsieur X, vous avez bien le numéro de sécu n° XXX ? vous avez fait tel acte médial le 12 janvier dernier, mais on a un un souci avec la comptabilité, il manque 100€…”
Ca marchera pas à coup sûr, mais statistiquement, c’est sans doute plus efficace et plus crédible que l’oncle millionaire qui veut partager sa fortune de 10 millions de $ contre un petit virement …
Et si ils tombent sur une personne agée, ils peuvent aller plus loin, du genre, “vous pouvez vérifier votre compte ameli ? si vous avez des difficultés, je peux le faire pour vous…”
#3
Cela intéresse surtout énormément les assurances pour connaître le risque qu’elles ont à assurer une personne (prêt bancaire, etc.)
#4
En théorie oui mais je ne les vois pas acheter ces informations sur le darknet. Si elles se font prendre elles risquent très très gros. Et puis tu achètes sur le darkweb et le vendeur te fait chanter
C’est plus intéressant de récupérer les données personnelles des montres connectées et autres objets connectés en rapport avec la santé.
Le prochain service développé par les GAFA sera les assurances santé maintenant qu’ils ont les données personnelles de santé de leurs clients. Ils ont déjà les informations bancaires. Microsoft a presque les données médicales des français …
#4.1
Permet-moi d’en douter, quand nous voyons, jour après jour, l’impunité accordé sur des maux graves de la société: viols, détournement de fonds/corruption, forces de l’ordre, etc ; je ne pense pas qu’une assurance soit inquiété de représailles judiciaires, ils ont largement les moyens et la compréhension de la justice Française pour s’en sortir.
#5
Bah, pour mieux cibler le spam de la vente/achat d’organes aux particuliers.
Oups. On me dit que j’ai posté ce message avec 5 ans d’avance. Saleté de voyage temporel…
#5.1
En fait, des données médicales sur des patients ayant besoin d’une greffe permettrait justement de cibler précisément ce genre d’offre, la rendant très discrète.
#6
C’est juste énorme, le voleur qui se injustement arnaqué… on vit dans un monde de plus en plus choquant.
J’ai une pensée pour les patients pour qui l’intimité médicale a été divulguée à qui veut faire de l’argent dessus, c’est terrible.
#7
Les refus doivent être motivés. Je vois mal une assurance motiver son refus par une info achetée sur le darknet. Et même le faire sans le dire, un jour ou l’autre, ça se saura, et ce jour-là, l’assurance peut mettre la clef sous la porte.
#7.1
Tu dois remplir un formulaire de déclaration de ton état de santé.
Certains items déclenchent automatiquement un refus ou une surprime. Mais la surprime fait partie de la négociation (tu peux aller ailleurs et avoir une surprime différente). On peut imaginer que l’assurance te mette 20k de surprime au lieu de 10 pour l’hypertension que tu as déclaré honnêtement, parce qu’elle a pu découvrir que tu prends un traitement de cheval pour la gérer et que ça lui semble préoccupant.
De plus, si mes souvenirs sont bon, il y a prescription sur ton état de santé, de mémoire c’est 10 ans. En gros si t’as été hospitalisé ya plus de 10 ans, tu es en droit de ne pas le déclarer. Maintenant imagine ce qu’il se passe si tu déclares que tu as de l’hypertension et que l’assurance découvre que tu t’es remis d’un infarctus il y a 11 ans ? Ben elle va te mettre une énorme surprime “cause : hypertension arterielle”.
#7.3
D’où la stupidité du système actuel… Je paie moins cher d’assurance décès/invalidité (21€ par mois pour 152k€ en cas de décès et 970€ mensuel en cas d’invalidité jusqu’à mes 65 ans) que d’assurance décès invalidité pour couvrir un prêt immobilier (154k€ de capital couvert (et ça descend tous les mois…) pour une mensualité de 691€ jusqu’à mes 60 ans).
Un système de contrat groupe basé sur l’âge serait bien suffisant.
#7.2
Elle peut demander une visite avec leur médecine interne, ou sans refuser, juste pratiquer des tarifs dissuasifs…
#8
ça doit pouvoir servir aussi pour des vols d’identité et/ou faux papiers d’une manière ou d’une autre
#9
Ce qui serait bien c’est de connaître précisément l’endroit où elles sont disponibles. Car au final on ne peut pas vérifier si on est dedans ou pas.
En tout cas ce genre de chose démontre à quel point des infrastructures essentielles sont sécurisées…
#10
Utiliser directement ce type de données est illégal, et bien entendu aucune société française ne s’y risquera. Par contre, des sociétés hors France, hors Europe vont se régaler de ces données. Des entreprises du type Equifax qui notent la solvabilité d’une personne. Et les compagnies d’assurance françaises peuvent légalement être clientes de ce type de société à qui elles achèteront une “évaluation” sur une personne, sans trop se préoccuper de savoir comment est fabriquée cette évaluation. Mais je vois sans doute le mal partout.
#11
Dommage qu’il y a pas un service comme ibeenpwned pour savoir si t’es infos persos (et je parle de tout meme des documents, photos de profil, cv..) circulent sur le dark net. A y penser ca fait froid dans le dos mais bon comme pour es spams: on fait du mutisme sélectif
Enfin ceci dit, t’es infos sont souvent liées aux mails dans une BDD et ibeenpwned indique quels autres infos ont aussi leakés.
#12
C’était pas exactement pour éviter ça qu’on était contre la numérisation, c’est-à-dire la mise à disposition de tout au monde entier à travers le WWW ?
#13
Y a t il moyen de savoir si nous faisons parti de ce vol de données ?
Ce serait quand même bien que les personnes concernées en soient informées.
#14
Tant qu’on mettera pas de vrais grosses peines, genre 10ans fermes pour les DSI et PDG de la boîte incriminée, hélas ce genre de fuites due àun manquement en terme de sécurité continuera…
Ça les ferait un peu plus réfléchir au budget et moyens à allouer à l’infosec
#14.1
Aussi faire faire des audits aléatoires à l’ANSSI avec des amendes à la clé quand il y a des manquements en terme de sécurité
#14.2
Cool, ça rapporterait tellement qu’ils pourraient supprimer la taxe copie privée :p
#14.3
Pourquoi ? Les homosexuels transmettent plus le SIDA que les hétéros ?
#14.4
En médecine, on parle d’HSH (hommes ayant des rapports sexuels avec des hommes : pratique à risque), et on se contrefiche de savoir s’ils sont homo/bi/hétéro/que sais-je encore…
#14.5
Désolé, vu mon age, les homosexuels que je côtoie sont en couple depuis des années, du coup j’ai du mal à identifier le risque. Au début des années SIDA pourqyoi pas mais aujourd’hui, je ne suis pas sur que les hétéros soient moins à risque (surtout quand on voit l’explosion des autres MST)
#15
Je confirme, pour avoir discuter avec une personne travaillant dans le monde des assurances, ils gèrent tellement d’argent que même un Etat comme la France ne leur fait pas peur.
Lors de la crise en Grèce, ils ont massivement frauder pour sauver leurs miches et personne n’a rien dit.
Et quand ils se font prendre, ils font comprendre à l’Etat qu’ils gèrent des portefeuilles équivalent au PIB français, et que donc ils sont prêts à faire des procès sans limite de coût, ce que les France ne peut pas faire.
Les assurances sont devenus comme les gafam, ils se font prendre, au final ils paieront une broutille à l’Etat et continueront car cela reste rentable pour eux.
Il n’y a aucun doute sur le fait qu’ils utiliseront ces données par des moyens détournés tel que l’a dit Zythom un peu plus haut dans les commentaires.
Le but d’une assurance est de faire du pognon et pour cela ils sont prêts à tout pour vérifier que leur clients sont solvables et en bonne santé.
#16
Tout simplement le chantage ? on n’a pas toujours envie que son patron ou même ses amis sache certaines choses. Sans compter les annotations médicales, par exemple si tu as le sida il peut être pertinent de noter si tu es homosexuel.
#16.1
Pourquoi ? Les homosexuels transmettent plus le SIDA que les hétéros ?
Oups ! Désolé je me suis trompé de ligne
#17
Je pense pas que ce soit légal, même dans un dossier médical…
#18
On est bien d’accord. Mais (chiffres un peu anciens de 2014) :
#19
Sachant que je vis dans un département concerné par cette brèche, j’aurais bien aimé que CheckNews propose un micro formulaire dans lequel on rentre juste son nom et que quelque chose te réponde “oui vous êtes concerné” ou “non vous n’êtes pas concerné”.
Çà me chafouine un peu cette histoire.
#20
Une boite de sécurité info a fait un formulaire, par contre c’est le numéro de sécu qu’il faut mettre, visiblement, ça n’envoie qu’un hash au serveur, mais sur le principe c’est assez moche car ça incite les gens à mettre leur numéro de sécu sur le net.
https://france3-regions.francetvinfo.fr/bretagne/donnees-medicales-decouvrez-si-vous-etes-concernes-par-la-fuite-de-donnees-des-laboratoires-bretons-1972174.html
#20.1
Merci
En effet, le petit script JS est clair et concis : ça n’envoie rien que le hash. Bonne initiative.
#20.2
Et lIinpactitude ?!
https://fuitededonneesdesante.acceis.fr/