Connexion
Abonnez-vous

Un fichier de tests Covid dérobé à l’AP-HP, 1,4 million de personnes concernées

Un fichier de tests Covid dérobé à l’AP-HP, 1,4 million de personnes concernées

Le 16 septembre 2021 à 08h26

L’Assistance Publique - Hôpitaux de Paris (AP-HP) annonce avoir porté plainte pour « vol de fichiers contenant des données nominatives ». Cette copie illégitime serait consécutive « à la suite d’une attaque informatique conduite au cours de l’été et confirmée le 12 septembre dernier », visant un « service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP » souffrant d’une faille.

« Pour transmettre à l’Assurance Maladie et aux Agences Régionales de Santé des données issues de laboratoires de biologie médicale utiles au suivi et à l’accompagnement des personnes (contact tracing), ce service a été utilisé de manière très ponctuelle en septembre 2020, en complément du système d’information national de dépistage (SI-DEP), dont l’AP-HP assure la maîtrise d’œuvre pour le compte du ministère des Solidarités et de la Santé et qui rencontrait des difficultés techniques dans ses outils de transmission ».

Dans le lot, quelque 1,4 million de personnes. Point commun : elles ont réalisé des tests anti-Covid mi-2020. Quelles sont les données à caractère personnel concernées ? « l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé ».

LAP-HP veut rassurer : « aucune autre donnée médicale que celles strictement liées à la réalisation du test n’est concernée ». « Les investigations se poursuivent pour déterminer l’origine et le mode opératoire de cette attaque. Les accès à ce service ont été immédiatement coupés en attendant la fin de ces investigations ».

En plus de la plainte, la faille a été signalée à la CNIL et à l’ANSSI. Les personnes concernées seront informées individuellement. « L’AP-HP rappelle que le fait d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données d’un traitement automatisé constitue un délit pénal ». 

Le défaut de sécurisation d’un traitement de données à caractère personnel peut également être sanctionné par la CNIL.  

Le 16 septembre 2021 à 08h26

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

« L’AP-HP rappelle que le fait d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données d’un traitement automatisé constitue un délit pénal ».



Le défaut de sécurisation d’un traitement de données à caractère personnel peut également être sanctionné par la CNIL.


Roh que vous êtes taquins :francais:

votre avatar

C’est la charité qui se moque de l’Hôpital
:francais:

votre avatar

ce service a été utilisé de manière très ponctuelle en septembre 2020
Dans le lot, quelque 1,4 million de personnes


donc utilisé très ponctuellement pour million de personnes.
on doit pas avoir la même définition de “très ponctuellement”.



surtout que si je ne m’abuse le hack date de l’été 2021.
donc très ponctuellement en 2020, mais données toujours dispo 10 mois plus tard.
on doit pas avoir la même définition de “utilisé”, du coup.



lol

votre avatar

Je n’avais pas fait attention que les données dataient de 2020 ! Ils s’en sont rendu compte un an après !



En relisant, comme le service a été utilisé très ponctuellement en septembre et que les victimes ont fait un test mi-2020, c’est-à dire sur juin/juillet, je suppose que ce service avait accès à ces données centralisées ailleurs et qu’il a juste été utilisé comme porte d’entrée, ce qui expliquerait que les données volées datent d’avant.
Mais, je ne vois pas pourquoi les données de septembre 2020 n’auraient pas été concernées. On peut donc supposer que la définition de mi-2020 à l’APHP est assez large et couvre peut-être une période de 5 à 6 mois (symétrie supposée de la période par rapport au 1er juillet).



De plus j’ai l’impression, mais ce n’est pas clair, que, comme l’AP-HP intervenait en tant que maître d’œuvre pour le ministère pour servir de passerelle vers l’Assurance Maladie et les ARS, tous les laboratoires de France peuvent être concernés. La communication de l’AP-HP est très laconique !

votre avatar

Et de 2 gros fichiers de données persos accessibles depuis l’extérieur car insuffisamment sécurisés.
On attend le prochain…
Bientôt un annuaire géant avec les coordonnées de tous les français et leur numéro de sécu ?

votre avatar

Données stockées sur le Health Data Hub ? :dd:
Nos données de santé sont bien protégées, comme dit le ministre :ouioui:

votre avatar

Jarodd a dit:


Données stockées sur le Health Data Hub ? :dd:


Non. Les données du HDH ne comportent pas de données identifiants, elles sont “déidentifiées”. Ces données ne viennent donc pas de là.




Nos données de santé sont bien protégées, comme dit le ministre :ouioui:


Le ministère comme donneur d’ordre qui a confié la maîtrise d’œuvre à l’AP-HP est responsable de ces données et peut donc être sanctionné par la CNIL.



Mais ça n’a rien à voir avec le Health Data Hub, merci de ne pas tout mélanger.

votre avatar

hellmut a dit:


on doit pas avoir la même définition de “très ponctuellement”.



on doit pas avoir la même définition de “utilisé”, du coup.


Je pense que c’est eux qui ont les bonnes :fumer:



Si les données de ce 1.4 million de personnes ont été transmises en une fois (ou même 10 ou 20, soyons large), on est toujours dans le cadre d’une utilisation ponctuelle.
Et si les données n’ont pas été supprimées, c’est compatible avec le fait que le service n’ait pas été utilisé depuis cette date.

votre avatar

oui alors sur la 1ere pourquoi pas.



mais un service




  • encore actif

  • sur lequel on stocke encore des données
    pardonne moi mais pour moi c’est “utilisé”.
    s’ils ne l’utilisaient plus, pourquoi ce service était-il encore accessible avec des données dessus?



mais bon je pinaille. ils ont merdé, voilà tout. :transpi:

votre avatar

l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé


Le simple mélange de toutes ces infos dans un seul fichier est déjà incompatible avec le RGPD.
Typiquement l’identité + coordonnées n’est pas utile donc ne devrait pas figurer avec le numéro de sécu !
Si cette simple règle de bon sens avait été respectée, la fuite aurait été quasi anodine, car un no de sécu est a priori secret.

votre avatar

Pour ceux que ça intéresse, voici le mail envoyé hier par l’AP-HP … :



Madame, Monsieur,



Vous avez effectué un test de dépistage Covid-19 dont le compte-rendu a été validé mi-2020.



Nous vous écrivons aujourd’hui afin de vous informer que le 12 septembre 2021, nous avons eu la confirmation d’une violation des données personnelles vous concernant. Sachez que nous en sommes vraiment désolés et nous vous prions de bien vouloir nous en excuser.



L’Assistance Publique – Hôpitaux de Paris - AP-HP - a été une victime d’une attaque informatique qui a porté sur un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP. Ce service lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe. Des résultats d’examen de dépistage Covid-19 y étaient stockés, à titre exceptionnel.



Pour transmettre à l’Assurance Maladie et aux Agences Régionales de Santé ces données utiles au suivi et à l’accompagnement des personnes (contact tracing), ce service a été utilisé de manière très ponctuelle en septembre 2020, en complément du système d’information national de dépistage (SI-DEP), dont l’AP-HP assure la maîtrise d’œuvre pour le compte du ministère des Solidarités et de la Santé et qui rencontrait alors des difficultés techniques dans ses outils de transmission.



Cette violation concerne vos données d’identité (nom, prénom, date de naissance, sexe), votre numéro de sécurité sociale, vos données de contact (adresse postale, téléphone et adresse électronique, lorsque renseignés lors de votre test), ainsi que les données relatives au test de dépistage que vous avez effectué l’année dernière, et notamment son résultat. Aucune autre donnée médicale que celles strictement liées à la réalisation du test, tels que présence d’éventuels symptômes ou hospitalisation éventuelle, n’est concernée.



Cet incident a été notifié à la commission nationale de l’informatique et des libertés (CNIL), comme prévu par l’article 34 du règlement européen sur la protection des données (RGPD). L’autorité judiciaire a été saisie par l’AP-HP et le ministère des Solidarités et de la Santé.



Nous avons immédiatement fermé les accès au service de partage de fichiers concerné. Nous savons que ces données ont été accessibles sur une plateforme de téléchargement hébergée en Nouvelle-Zélande. Cet accès a été coupé le 14 septembre 2021. Nous continuerons à prendre toutes les mesures possibles et nécessaires pour limiter l’impact de cette fuite de données. À ce stade, nous n’avons connaissance d’aucune réutilisation de ces données. Nous ne pouvons néanmoins pas garantir que ces fichiers ne soient pas partagés entre des personnes malveillantes, malgré les sanctions encourues par les auteurs de cette attaque ou par toute personne qui les diffuserait ou les exploiterait.



C’est pourquoi, nous vous recommandons la plus grande vigilance, notamment s’agissant de tentatives d’escroquerie ou d’hameçonnage qui pourraient survenir dans les prochaines semaines.



Voici quelques conseils à appliquer de manière générale et encore plus spécifiquement dans ce contexte :



Pour les messages électroniques que vous recevez : soyez attentif à l’expéditeur des messages, y compris lorsqu’il a l’apparence d’un expéditeur officiel, méfiez-vous des pièces jointes, ne répondez jamais à une demande d’informations confidentielles notamment d’informations bancaires, soyez attentif au contenu et à la rédaction du message reçu, et paramétrez correctement votre outil de messagerie. Pour en savoir plus :


ssi.gouv.fr République Française;



Pour les appels téléphoniques ou SMS provenant de numéros inconnus : ne répondez pas aux éventuelles demandes de communication de données personnelles et/ou bancaires.


Plus globalement, soyez vigilants vis à vis de toute sollicitation anormale, de démarchage à domicile, et signalez aux autorités judiciaires tout élément suspicieux que vous estimeriez être en lien avec cette attaque.



Pour plus d’informations n’hésitez pas à consulter le site cybermalveillance.gouv.fr République Française



Si vous souhaitez avoir de plus amples informations ou nous signaler un incident, vous pouvez nous contacter sur l’adresse [email protected]. Nous collaborons étroitement aux enquêtes dont nous souhaitons qu’elles permettront de retrouver le ou les auteurs.



Une nouvelle fois nous vous prions de bien vouloir nous en excuser. Nous sommes conscients des conséquences qui peuvent résulter de cette attaque et nous vous assurons que nous mettons tout en œuvre pour en limiter les effets.

votre avatar

Merci du partage.
Te souviens-tu de la date à laquelle tu avais fait le test ? Et était-ce dans un labo dépendant de l’AP-HP ou d’un labo privé ?



Comme ils parlent de mi-2020 pour le test, j’aimerais voir ce que ça couvre comme plage. J’ai fait un test seconde semaine de juillet 2020.

Un fichier de tests Covid dérobé à l’AP-HP, 1,4 million de personnes concernées

Fermer