La liste noire du jour prend encore de l’ampleur. Un pirate sous le pseudo near2tlg annonce la mise en vente de « données médicales françaises (Mediboard) » de pas moins de 750 000 patients. Les informations sont vastes : nom, prénom, date de naissance, sexe, adresse, ville, code postal, numéro(s) de téléphone, e-mail, mais aussi médecin traitant, ordonnances, déclaration de décès, identifiants externes et historique de santé.
Sur le forum, le pirate propose trois « slots » pour acheter les données. Le compteur est toujours à 0 pour l’instant.
Dans un exemple mis en ligne pour appuyer ses dires, on peut également voir qu’il y a parfois des précisions médicales sur les patients : « DP 1100 - 600 mais mutuelle rembourse 70% du tarif ss pth pr vu le 24 janvier 2024 », « Intol rance tramadol et acupan:vomissements ».
Clubic, qui annonce la fuite, a pu contacter l'éditeur du logiciel Mediboard : la société Softway Medical Ville. « Ce logiciel de gestion hospitalière utilisé en France est réputé et connu pour aider les établissements de santé, comme les hôpitaux, les cabinets médicaux et les cliniques, à mieux gérer leurs activités. En l'occurrence, il a ici été exploité par le cybercriminel pour récupérer une grande quantité de données », expliquent nos confrères.
Alertée par Clubic, l’entreprise a mené l’enquête sur cette fuite dont elle n’était visiblement pas au courant. « Il s'agit de l'un de nos clients, qui lui-même n'était pas au courant », leur explique Déborah Draï, la responsable de communication. « En revanche, ce n'est pas nous qui hébergeons les données de santé », ajoute la société, en précisant qu’elle n'est pas non plus responsable de traitement.
« L'établissement concerné par la fuite est notre client à travers la solution Mediboard. Cela touche l'export des données », explique Déborah Draï. La responsable ajoute dans un second temps que son logiciel n'est pas mis en cause et que l'attaque pourrait se résumer en « une usurpation d'un compte à privilèges, au sein de l'infrastructure du client, par une personne qui a utilisé les fonctions standards de la solution », comme le rapporte Clubic.
Il y a peu, l’ANSSI alertait pour rappel sur les risques des établissements de santé face aux cyberattaques et listait des recommandations à mettre en place… dont la vérification des droits des utilisateurs.
Commentaires (17)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 19/11/2024 à 18h31
Le 20/11/2024 à 08h40
Grosso modo, cette certification est obligatoire quand on héberge des données d'un organisme tiers. Si un établissement autohéberge ses données, ce n'est pas nécessaire.
Je ne connais pas MediBoard, mais de ce qui est dit, on dirait que c'est "simplement" un logiciel que l'établissement gère ensuite par lui-même. Pas un SAAS.
Le 20/11/2024 à 12h38
En fait, le référentiel HDS n'aurait pas vraiment aidé à éviter la problématique puisqu'à priori c'est un vol d'identifiant qui est arrivé. Au final, ce n'est qu'une ISO 27001 boostée. Alors peut être ce qui est étonnant dans ces cas c'est l'étendu des droits où tu peux extraire un max d'informations sans justification.
Je dirais que des protection à l'EDS (entrepôt de donnée de santé) aurait permis de limiter fortement l'extraction.
Le 19/11/2024 à 19h13
À moins que l'AP-HP par exemple soit considéré comme un "établissement" ?
On peut demander l'export et la suppression de nos données d'un hôpital ou de n'importe quel professionnel de santé par lequel on est passé et où on ne prévoit pas de revenir ?
Le 19/11/2024 à 21h51
J'imagine que le phishing a encore frappé. Courage aux équipes SSI du client.
Modifié le 20/11/2024 à 08h46
Ne pas oublier non plus que, légalement parlant, la durée de rétention des informations médicales est de 20 ans après la dernière visite du patient (ou 10 ans après le décès du patient... quand l'établissement est au courant du décès).
[edit]
750000 patient, c'est l'équivalent de 100 consultations / jour pour un établissement. Même le CH de ma "petite ville" de 20 000 habitants fait bien plus.
Le 19/11/2024 à 19h25
à partir de 10/20M ça devient intéressant
celles de twitter, facebook, linkedin, c'est sup à 100M chacune.
Le 19/11/2024 à 20h54
Ils ont fait 250.000 clients de plus que Auchan !!
Le 19/11/2024 à 20h55
Le 19/11/2024 à 20h54
Si je suis dedans, vous me compterez 70% pour les droits d'auteur SVP.
Le 20/11/2024 à 00h02
Le 20/11/2024 à 02h20
Le 20/11/2024 à 09h28
Le 20/11/2024 à 11h28
Sur beaucoup de LIS/HIS, les données sensibles sont simplement masquées à l'affichage et pas chiffrées dans le stockage. Ca signifie que les accès de "maintenance" ont accès aux données de santé en clair :/
Le 22/11/2024 à 09h23
Le 21/11/2024 à 14h34
Le 21/11/2024 à 15h26
Travaillant beaucoup dans le domaine médicale, ma plus grosse perle niveau sécurité, c'était le DSI d'un grand établissement hospitalier qui m'a dit qu'il ne voyait pas à quoi cela servait de chiffrer les données dans le cadre d'une interopérabilité entre systèmes d'informations...
Quand on entend ça, on se dit qu'il y a encore du chemin à faire...
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?