L’Assistance Publique - Hôpitaux de Paris (AP-HP) annonce avoir porté plainte pour « vol de fichiers contenant des données nominatives ». Cette copie illégitime serait consécutive « à la suite d’une attaque informatique conduite au cours de l’été et confirmée le 12 septembre dernier », visant un « service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP » souffrant d’une faille.
« Pour transmettre à l’Assurance Maladie et aux Agences Régionales de Santé des données issues de laboratoires de biologie médicale utiles au suivi et à l’accompagnement des personnes (contact tracing), ce service a été utilisé de manière très ponctuelle en septembre 2020, en complément du système d’information national de dépistage (SI-DEP), dont l’AP-HP assure la maîtrise d’œuvre pour le compte du ministère des Solidarités et de la Santé et qui rencontrait des difficultés techniques dans ses outils de transmission ».
Dans le lot, quelque 1,4 million de personnes. Point commun : elles ont réalisé des tests anti-Covid mi-2020. Quelles sont les données à caractère personnel concernées ? « l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé ».
LAP-HP veut rassurer : « aucune autre donnée médicale que celles strictement liées à la réalisation du test n’est concernée ». « Les investigations se poursuivent pour déterminer l’origine et le mode opératoire de cette attaque. Les accès à ce service ont été immédiatement coupés en attendant la fin de ces investigations ».
En plus de la plainte, la faille a été signalée à la CNIL et à l’ANSSI. Les personnes concernées seront informées individuellement. « L’AP-HP rappelle que le fait d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données d’un traitement automatisé constitue un délit pénal ».
Le défaut de sécurisation d’un traitement de données à caractère personnel peut également être sanctionné par la CNIL.
Commentaires (12)
#1
Roh que vous êtes taquins
#2
C’est la charité qui se moque de l’Hôpital
#3
donc utilisé très ponctuellement pour million de personnes.
on doit pas avoir la même définition de “très ponctuellement”.
surtout que si je ne m’abuse le hack date de l’été 2021.
donc très ponctuellement en 2020, mais données toujours dispo 10 mois plus tard.
on doit pas avoir la même définition de “utilisé”, du coup.
lol
#3.1
Je n’avais pas fait attention que les données dataient de 2020 ! Ils s’en sont rendu compte un an après !
En relisant, comme le service a été utilisé très ponctuellement en septembre et que les victimes ont fait un test mi-2020, c’est-à dire sur juin/juillet, je suppose que ce service avait accès à ces données centralisées ailleurs et qu’il a juste été utilisé comme porte d’entrée, ce qui expliquerait que les données volées datent d’avant.
Mais, je ne vois pas pourquoi les données de septembre 2020 n’auraient pas été concernées. On peut donc supposer que la définition de mi-2020 à l’APHP est assez large et couvre peut-être une période de 5 à 6 mois (symétrie supposée de la période par rapport au 1er juillet).
De plus j’ai l’impression, mais ce n’est pas clair, que, comme l’AP-HP intervenait en tant que maître d’œuvre pour le ministère pour servir de passerelle vers l’Assurance Maladie et les ARS, tous les laboratoires de France peuvent être concernés. La communication de l’AP-HP est très laconique !
#4
Et de 2 gros fichiers de données persos accessibles depuis l’extérieur car insuffisamment sécurisés.
On attend le prochain…
Bientôt un annuaire géant avec les coordonnées de tous les français et leur numéro de sécu ?
#5
Données stockées sur le Health Data Hub ?
Nos données de santé sont bien protégées, comme dit le ministre
#6
Non. Les données du HDH ne comportent pas de données identifiants, elles sont “déidentifiées”. Ces données ne viennent donc pas de là.
Le ministère comme donneur d’ordre qui a confié la maîtrise d’œuvre à l’AP-HP est responsable de ces données et peut donc être sanctionné par la CNIL.
Mais ça n’a rien à voir avec le Health Data Hub, merci de ne pas tout mélanger.
#7
Je pense que c’est eux qui ont les bonnes
Si les données de ce 1.4 million de personnes ont été transmises en une fois (ou même 10 ou 20, soyons large), on est toujours dans le cadre d’une utilisation ponctuelle.
Et si les données n’ont pas été supprimées, c’est compatible avec le fait que le service n’ait pas été utilisé depuis cette date.
#7.1
oui alors sur la 1ere pourquoi pas.
mais un service
pardonne moi mais pour moi c’est “utilisé”.
s’ils ne l’utilisaient plus, pourquoi ce service était-il encore accessible avec des données dessus?
mais bon je pinaille. ils ont merdé, voilà tout.
#8
Le simple mélange de toutes ces infos dans un seul fichier est déjà incompatible avec le RGPD.
Typiquement l’identité + coordonnées n’est pas utile donc ne devrait pas figurer avec le numéro de sécu !
Si cette simple règle de bon sens avait été respectée, la fuite aurait été quasi anodine, car un no de sécu est a priori secret.
#9
Pour ceux que ça intéresse, voici le mail envoyé hier par l’AP-HP … :
Madame, Monsieur,
Vous avez effectué un test de dépistage Covid-19 dont le compte-rendu a été validé mi-2020.
Nous vous écrivons aujourd’hui afin de vous informer que le 12 septembre 2021, nous avons eu la confirmation d’une violation des données personnelles vous concernant. Sachez que nous en sommes vraiment désolés et nous vous prions de bien vouloir nous en excuser.
L’Assistance Publique – Hôpitaux de Paris - AP-HP - a été une victime d’une attaque informatique qui a porté sur un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP. Ce service lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe. Des résultats d’examen de dépistage Covid-19 y étaient stockés, à titre exceptionnel.
Pour transmettre à l’Assurance Maladie et aux Agences Régionales de Santé ces données utiles au suivi et à l’accompagnement des personnes (contact tracing), ce service a été utilisé de manière très ponctuelle en septembre 2020, en complément du système d’information national de dépistage (SI-DEP), dont l’AP-HP assure la maîtrise d’œuvre pour le compte du ministère des Solidarités et de la Santé et qui rencontrait alors des difficultés techniques dans ses outils de transmission.
Cette violation concerne vos données d’identité (nom, prénom, date de naissance, sexe), votre numéro de sécurité sociale, vos données de contact (adresse postale, téléphone et adresse électronique, lorsque renseignés lors de votre test), ainsi que les données relatives au test de dépistage que vous avez effectué l’année dernière, et notamment son résultat. Aucune autre donnée médicale que celles strictement liées à la réalisation du test, tels que présence d’éventuels symptômes ou hospitalisation éventuelle, n’est concernée.
Cet incident a été notifié à la commission nationale de l’informatique et des libertés (CNIL), comme prévu par l’article 34 du règlement européen sur la protection des données (RGPD). L’autorité judiciaire a été saisie par l’AP-HP et le ministère des Solidarités et de la Santé.
Nous avons immédiatement fermé les accès au service de partage de fichiers concerné. Nous savons que ces données ont été accessibles sur une plateforme de téléchargement hébergée en Nouvelle-Zélande. Cet accès a été coupé le 14 septembre 2021. Nous continuerons à prendre toutes les mesures possibles et nécessaires pour limiter l’impact de cette fuite de données. À ce stade, nous n’avons connaissance d’aucune réutilisation de ces données. Nous ne pouvons néanmoins pas garantir que ces fichiers ne soient pas partagés entre des personnes malveillantes, malgré les sanctions encourues par les auteurs de cette attaque ou par toute personne qui les diffuserait ou les exploiterait.
C’est pourquoi, nous vous recommandons la plus grande vigilance, notamment s’agissant de tentatives d’escroquerie ou d’hameçonnage qui pourraient survenir dans les prochaines semaines.
Voici quelques conseils à appliquer de manière générale et encore plus spécifiquement dans ce contexte :
https://www.ssi.gouv.fr/particulier/precautions-elementaires/5-reflexes-a-avoir-lors-de-la-reception-dun-courriel ;
Plus globalement, soyez vigilants vis à vis de toute sollicitation anormale, de démarchage à domicile, et signalez aux autorités judiciaires tout élément suspicieux que vous estimeriez être en lien avec cette attaque.
Pour plus d’informations n’hésitez pas à consulter le site https://cybermalveillance.gouv.fr/
Si vous souhaitez avoir de plus amples informations ou nous signaler un incident, vous pouvez nous contacter sur l’adresse [email protected]. Nous collaborons étroitement aux enquêtes dont nous souhaitons qu’elles permettront de retrouver le ou les auteurs.
Une nouvelle fois nous vous prions de bien vouloir nous en excuser. Nous sommes conscients des conséquences qui peuvent résulter de cette attaque et nous vous assurons que nous mettons tout en œuvre pour en limiter les effets.
#9.1
Merci du partage.
Te souviens-tu de la date à laquelle tu avais fait le test ? Et était-ce dans un labo dépendant de l’AP-HP ou d’un labo privé ?
Comme ils parlent de mi-2020 pour le test, j’aimerais voir ce que ça couvre comme plage. J’ai fait un test seconde semaine de juillet 2020.