Un dataleak médical sans précédent, et après...

« Until you have experienced something like this, you don’t realise just what can happen, just how serious it can be. I had no intuitive idea on how to move forward. » Ainsi s’exprimait A.P. Moller-Maersk CEO de Soren Skou, dans le Financial Times le 14 Août 2017, après avoir subi une cyberattaque sans précédent causée par NotPetya.

Ce Mardi 23 février était révélée une fuite majeure de données… Cette dernière a fait énormément parler…

C’est un évènement sans précédent sur lequel j’ai pu travailler de façon extrêmement approfondie.

Des centaines de milliers de données ont fuité ces derniers jours ; parmi elles on retrouve des informations sensibles. Cela concerne jusqu’à 160 points de données; i.e:

Code Labo
Id Labo
No SS
Sexe
Titre
Nom Patient
Prenom Patient
2eme Prenom Patient
Nom Assure
Prenom Assure
Nom de Jeune Fille
Conjoint
Bureau Distributeur Patient
Date de Naissance
Groupe Sanguin
Facteur Rhesus
No Chambre
Dernier Visite
No Police
Date Hospitalisation
Situation Beneficiare
Prise en Charge
Consultation Minitel
CP SNCF
No National Medecin
Nom Medecin
Prenom Medecin
Telephone Fixe Medecin
Telephone Mobile Medecin
Telephone Autre Medecin
No HPRIM Medecin
Nom Preleveur
Prenom Preleveur
Adresse 1 Preleveur
CPAM
Mail Tiers Payant 2
No Caisse Gestionnaire TP1
No Mutuel TP1
Mail Patient (2)
Adr. Commune Patient (2)
Bureau Distributeur Patient (2)
Commentaire D
Commentaire P

NOTA: Les deux derniers champs sont ceux dans lesquels ont retrouve les pathologies et d’autres commentaires très très très personnels…

Chaque point collecté représente un élément permettant de vous profiler encore plus.

De nombreux articles ont germé dans les différents médias français, sensibilisant l’opinion publique sur la cybersécurité et la protection des données personnelles. Ainsi Libération, Le Figaro et bon nombre de médias se sont emparés de cette actualité brûlante afin de relater cette fuite de données. Les chaînes de télévision (TF1, France 2, BFM…) ne sont pas en reste également.

Concrètement avec cette collecte d’informations à disposition, une personne mal intentionnée (tels des hackers non éthiques ou pirates) pourrait de façon crédible vous duper et par exemple :

  • Extorquer de l’argent en se faisant passer pour un professionnel de santé
  • Usurper votre identité : accès aux données financiers, assurances…

Tous les aspects de votre vie quotidienne s’en trouvent impactés.

Et maintenant me direz-vous ?

Pour une agression vous appelez les forces de l’ordre, une urgence médicale le 15, des clés perdues le serrurier !

Qu’en est-il pour une cyberattaque ??? Nous nous retrouvons démunis… Imaginez une personne de votre entourage dans cette situation : Qui appelez-vous ? Qui prévenez-vous ? Que faites-vous dans l’immédiat ? Et à terme auprès de qui portez-vous plainte ?

Le constat à date fait état d’un vide (cyber)juridique. Je ne peux qu’imaginer que dans les prochains mois seront ébauchés des projets de loi visant à combler ce no man’s land. Dans l’intervalle, vous/nous ne pouvons rester inactifs et laisser l’inertie s’installer.

En tant que hacker et rennais de surcrôit, il est en de ma responsabilité d’alerter les autorités régionales (Région Bretagne, Rennes Métropole notamment) et départementales (Conseils départementaux du Finistère, Côtes d’Armor, Morbihan et Ille-et-Vilaine) pour réfléchir ensemble (sur cette problématique) et amorcer le changement et apporter des solutions pour nos concitoyens bretons et au-delà.

Si cette situation absolument inédite nous laisse de prime abord dénués de solutions immédiates, pour autant cela doit en plus de nous émouvoir, faire naître une conscience individuelle et collective et un renouveau dans nos rapports au numérique.

Nous devons prendre conscience de cette menace qui pèse sur notre espace virtuel.

J’ose espérer que les pouvoirs politiques, juridiques sauront s’entourer d’experts et ainsi insuffler un vent nouveau dans la mise en place des systèmes d’information, l’exploitation et la protection de nos données personnelles.

Collectivement, cela passe par des campagnes de sensibilisation ; individuellement par des mesures simples (mot de passe unique pour un compte donné, création de différentes adresses mails, développement d’un esprit critique numérique entre autres).

Cybèrement vôtre,

SaxX