CheckNews a pu authentifier et retracer l'origine des données des 500 000 patients français disponibles gratuitement sur le darknet. Elles émanent de laboratoires de biologie médicale ayant pour point commun d'avoir utilisé un logiciel baptisé Mega-Bus, désormais obsolète mais commercialisé depuis 2009 par la société Medasys, filiale de Dedalus France.
L’an passé, nous avions révélé que ce « leader européen en matière de solutions logicielles de Santé » avait licencié, pour « fautes graves », un lanceur d'alerte qui avait prévenu les autorités sur ses problèmes de sécurité, et découvert que « n'importe qui pouvait accéder à l'extranet, depuis le web. Ce qui permettait notamment d'accéder aux tickets ouverts par les hôpitaux et laboratoires clients ».
Les données auraient été volées, entre 2015 et 2020, dans une trentaine de laboratoires d'analyse médicale du Morbihan, de l’Eure, du Loiret, des Côtes-d’Armor et dans une moindre mesure du Loir-et-Cher.
Contactés, les labos sont unanimes : personne, du côté des autorités, ne les a mis au courant de cette fuite massive de données sensibles concernant leurs patients.
Dedalus France reconnaît la piste plausible : « Mega-Bus est une vieille solution. Si des clients l’utilisent toujours, ce doit être les derniers parce qu’elle n’est plus vendue ou maintenue. La plupart des clients de ce système sont en train de migrer ou ont déjà migré. »
Non content de contenir, dans la partie « Commentaires », des données médicales ultrasensibles (grossesse, traitements médicamenteux, pathologies voire séropositivité du patient), les données n'étaient pas chiffrées, au mépris des pratiques élémentaires de cybersécurité.
L'an passé, Dedalus n'avait pas daigné répondre à nos questions portant notamment sur l'absence de responsable de la sécurité des systèmes d’information (RSSI) dans l'entreprise, préférant botter en touche, et nous accuser de « chercher à ternir l'image » du groupe.
Contactés par CheckNews, d’anciens salariés de Dedalus dénoncent encore et toujours une politique de sécurité informatique jugée trop « légère », citant des systèmes « obsolètes », comme celui de Mega-Bus, ou qui ont tardé à être mis à jour. Et toujours pas de nouvelles du RSSI.
Commentaires