Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Les données médicales et personnelles de 750 000 Français sont à vendre

Le 19 novembre à 18h04

La liste noire du jour prend encore de l’ampleur. Un pirate sous le pseudo near2tlg annonce la mise en vente de « données médicales françaises (Mediboard) » de pas moins de 750 000 patients. Les informations sont vastes : nom, prénom, date de naissance, sexe, adresse, ville, code postal, numéro(s) de téléphone, e-mail, mais aussi médecin traitant, ordonnances, déclaration de décès, identifiants externes et historique de santé.

Sur le forum, le pirate propose trois « slots » pour acheter les données. Le compteur est toujours à 0 pour l’instant.

Dans un exemple mis en ligne pour appuyer ses dires, on peut également voir qu’il y a parfois des précisions médicales sur les patients : « DP 1100 - 600 mais mutuelle rembourse 70% du tarif ss pth pr vu le 24 janvier 2024 », « Intol rance tramadol et acupan:vomissements ».

Clubic, qui annonce la fuite, a pu contacter l'éditeur du logiciel Mediboard : la société Softway Medical Ville. « Ce logiciel de gestion hospitalière utilisé en France est réputé et connu pour aider les établissements de santé, comme les hôpitaux, les cabinets médicaux et les cliniques, à mieux gérer leurs activités. En l'occurrence, il a ici été exploité par le cybercriminel pour récupérer une grande quantité de données », expliquent nos confrères.

Alertée par Clubic, l’entreprise a mené l’enquête sur cette fuite dont elle n’était visiblement pas au courant. « Il s'agit de l'un de nos clients, qui lui-même n'était pas au courant », leur explique Déborah Draï, la responsable de communication. « En revanche, ce n'est pas nous qui hébergeons les données de santé », ajoute la société, en précisant qu’elle n'est pas non plus responsable de traitement.

« L'établissement concerné par la fuite est notre client à travers la solution Mediboard. Cela touche l'export des données », explique Déborah Draï. La responsable ajoute dans un second temps que son logiciel n'est pas mis en cause et que l'attaque pourrait se résumer en « une usurpation d'un compte à privilèges, au sein de l'infrastructure du client, par une personne qui a utilisé les fonctions standards de la solution », comme le rapporte Clubic.

Il y a peu, l’ANSSI alertait pour rappel sur les risques des établissements de santé face aux cyberattaques et listait des recommandations à mettre en place… dont la vérification des droits des utilisateurs.

Le 19 novembre à 18h04

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Les données de santé ne sont pas cadréees par HADS ? A l'époque où je travaillais dessus c'était quand même assez rigoureux tel PCI
votre avatar
Je suppose que tu veux dire parler de la certification HDS (Hébergeur de Données de Santé) ?

Grosso modo, cette certification est obligatoire quand on héberge des données d'un organisme tiers. Si un établissement autohéberge ses données, ce n'est pas nécessaire.

Je ne connais pas MediBoard, mais de ce qui est dit, on dirait que c'est "simplement" un logiciel que l'établissement gère ensuite par lui-même. Pas un SAAS.
votre avatar
J'en connais chez Softway Medical qui ont du avoir chaud aux fesses en entendant l'histoire.
En fait, le référentiel HDS n'aurait pas vraiment aidé à éviter la problématique puisqu'à priori c'est un vol d'identifiant qui est arrivé. Au final, ce n'est qu'une ISO 27001 boostée. Alors peut être ce qui est étonnant dans ces cas c'est l'étendu des droits où tu peux extraire un max d'informations sans justification.
Je dirais que des protection à l'EDS (entrepôt de donnée de santé) aurait permis de limiter fortement l'extraction.
votre avatar
Comment est-ce qu'un "établissement" peut se retrouver en possession des données de 750 000 personnes ?
À moins que l'AP-HP par exemple soit considéré comme un "établissement" ?
On peut demander l'export et la suppression de nos données d'un hôpital ou de n'importe quel professionnel de santé par lequel on est passé et où on ne prévoit pas de revenir ?
votre avatar
750000 pour une établissement de santé c'est peu de choses, cher ami.
J'imagine que le phishing a encore frappé. Courage aux équipes SSI du client.
votre avatar
Tout à fait. 750 000 patients pour un établissement comme un centre hospitalier, ce n'est pas grand chose. Et pas besoin d'une très grande ville. Le CH de Poitiers ou Limoges doivent aisément dépasser ce chiffre.

Ne pas oublier non plus que, légalement parlant, la durée de rétention des informations médicales est de 20 ans après la dernière visite du patient (ou 10 ans après le décès du patient... quand l'établissement est au courant du décès).

[edit]
750000 patient, c'est l'équivalent de 100 consultations / jour pour un établissement. Même le CH de ma "petite ville" de 20 000 habitants fait bien plus.
votre avatar
750 000 personnes c'est franchement minuscule
à partir de 10/20M ça devient intéressant
celles de twitter, facebook, linkedin, c'est sup à 100M chacune.
votre avatar
GG !
Ils ont fait 250.000 clients de plus que Auchan !! :D
votre avatar
C'est dire si la PDM d'Auchan est dégueulasse !
votre avatar
Les données médicales et personnelles de 750 000 Français sont à vendre
Ah, très bien.

Si je suis dedans, vous me compterez 70% pour les droits d'auteur SVP.
votre avatar
Je me contente des 30% restant si j'y figure. :merci:
votre avatar
Aeris en roue libre avec https://bonjourlafuite.eu.org/ :fume:
votre avatar
Rigolo, mais dommage qu'il en manque un paquet, il n'y a même pas free ^^'
votre avatar
Travaillant dans la fabrication d'appareils d'analyses médicales, ca me désole de voir tous les efforts qu'on fait pour sécuriser les données dans l'appareil lui même... et au final, le système d'information au dessus (LIS/HIS) n'ait pas le quart des mesures de sécurité de l'appareil.

Sur beaucoup de LIS/HIS, les données sensibles sont simplement masquées à l'affichage et pas chiffrées dans le stockage. Ca signifie que les accès de "maintenance" ont accès aux données de santé en clair :/
votre avatar
La sécurité d'un système intégré est celle du maillon le plus faible. Continuez à sécuriser les données sur les appareils, ce n'est jamais perdu !
votre avatar
Au boulot ce qui est données médicales c'est chaud patate, 3 serveurs, un pour l'application web, un pour la DB, un pour la sauvegarde, tous chiffrés... Je croyais que c'était la norme. Dans ce cas, AMHA, ce ne l'était pas :pleure:
votre avatar
Oukelà non pauvre malheureux !

Travaillant beaucoup dans le domaine médicale, ma plus grosse perle niveau sécurité, c'était le DSI d'un grand établissement hospitalier qui m'a dit qu'il ne voyait pas à quoi cela servait de chiffrer les données dans le cadre d'une interopérabilité entre systèmes d'informations...

Quand on entend ça, on se dit qu'il y a encore du chemin à faire...

Les données médicales et personnelles de 750 000 Français sont à vendre

Fermer