Grosse fuite de données médicales pour près de 500 000 patients Français. La CNIL rappelle à l’ordre les organismes concernés.
491 840, c’est le nombre de patients français dont les données médicales ont fait l’objet d’une fuite sur Internet. Parmi les informations concernées, des numéros de sécurité sociale, des adresses postales, des numéros de téléphone ou des adresses e-mail. La base de données a été constituée suite à des attaques informatiques visant une trentaine de laboratoires du quart nord-ouest de la France. Les données sont relatives à des prélèvements effectués entre 2015 et 2020.
Les experts tirent la sonnette d’alarme
“On a très peur de la fuite de ses données de carte bleue, mais en France, la réglementation est extrêmement protectrice. Alors que les données de santé, une fois qu’on sait, c’est irréversible. Ça va être enregistré sur Internet, ça va être indexé sur les moteurs, il peut y avoir des conséquences à moyen, voire à long terme”, souligne Gérôme Billois, expert en cybersécurité interrogé par le site 20 Minutes. Au regard des informations concernées (VIH, grossesse, etc.), c’est, à ses yeux, “la pire fuite qui existe”.
“À ma connaissance, cela n’a pas encore été fait aujourd’hui. Dans ce cas, un tel site remettrait en cause la confidentialité des données, en exposant toutes les autres personnes concernées. Si on est client d’un laboratoire dans le nord-ouest de la France, il y a de fortes chances qu’on soit concerné”, poursuit l’expert concernant l’existence d’un site permettant de savoir si l’on est concerné ou pas par cette fuite de données.
La CNIL y va d’une piqûre de rappel
“Une enquête doit déterminer les responsabilités partagées entre les attaquants initiaux et la responsabilité du laboratoire. Ces établissements pourront aussi être sanctionnés d’une amende”, explique Gérôme Billois.
De son côté, la Commission Nationale de l’Informatique et des Libertés, garante du respect de la vie en France, en a profité pour effectuer une piqûre de rappel. “À la suite de la publication dans la presse de plusieurs articles concernant une fuite de données de santé massive, la CNIL rappelle aux responsables de traitement leurs obligations en cas de violation”, a déclaré l’autorité administrative. Pointant ce qui apparaît comme une “violation de données d’une ampleur et d’une gravité particulièrement importante”, elle rappelle qu’“il incombe aux organismes concernés qui ne l’auraient pas déjà fait de procéder à une notification auprès de la CNIL, dans les 72 heures suivant le moment où ils en ont pris connaissance” .
La CNIL rappelle aussi que “lorsque la fuite de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne. Cela peut être le cas si, comme la presse s’en est fait l’écho, des données de santé particulièrement sensibles ont été divulguées et en nombre important”. Et d’ajouter : “les responsables de traitement ont l’obligation d’assurer la sécurité des données qu’ils traitent par des moyens proportionnés aux risques, et tout particulièrement pour des données sensibles telles que les données de santé”.
Source : 20 Minutes
C'est quoi le rapport avec Free? Online? Illiad? X Niel? Les autres opérateurs?
Est-ce que cela a un rapport avec la centralisation chez Microsoft?
Et quelle est l'adresse du site pour savoir si on est ou non concerné ?
La sécurité des réseaux dans leur globalité... C'est de l'info.
https://fuitededonneesdesante.acceis.fr/
Il fajt mettre le numéro de secu et ça te dis si tu es présent sur le fichier mais ça ne dit pas quelle infos il y a de toi.
J'ai vu le fichier, il y a plusieurs membres de mon entourage.
Va falloir vous habituez les gars.
Rien n'est chiffré dans les bases de données et c'est pas demain qu'ils vont s'y mettre.
La France n'a aucun plan de défense de ses services publics ou de ses entreprises privés, c'est chacun fait comme il l'entend, cette liberté qu'on nous rabâche à longueur de temps, elle commence à poser problème
Qui se souvient de la poste qui a été paralysée plusieurs heures (pas par piratage mais par négligence de leur service informatique) fin janvier de cette année...
Qui se souvient de la chaîne TV5 Monde...
Le gros problème, c'est qu'on est un pays cible avec tellement de vulnérabilités (autant technologiques que humaines) que les autres pays hébergeant des pirates se marrent et se font un vrai plaisir, ils font limite que leurs courses chez nous tellement c'est plus simple, on rentre comme dans un moulin après avoir pété 2 verrous (quand il y en a).
C'est pas une loi, des amendes ou marches blanches qui vont régler le problème de fuite de données, il faut une vraie riposte, montrer qu'on sait se protéger et surtout aller piocher chez l'ennemi pour les calmer et montrer que nous aussi on peut récupérer des données (c'est ce qu'on faisait il y a longtemps et qui faisait qu'on était respectés car craints).
La bombe nucléaire ne fait plus peur à personne (car chaque pays sais que ceux qui l'ont ne l'utiliseront jamais avant le point de non retour), la guerre de l'information/technologique a déjà commencée et nous Français, on a 30 ans de retard comme d'habitude parce que nos dirigeant sont plus occupés à couler le pays avec leur mesures irréfléchies ou réfléchies mais juste par pur électorat qu'a le défendre contre ce qui le menace lui et son peuple.
Vous êtes prévenu
Merci. Le site mer** pas mal surtout selon le navigateur. J'étais pas trop inquiet car n'étant pas dans l'un des départements en question mais à côté et pas de labo privé (juste labo de chu/clinique), au moins je suis sur que... Le site indique qu'il n'y a pas à '' priori '' mon numéro de secu, comme l'indique le message final.
En tout cas, la dite fuite, je trouve ça scandaleux. Et dire qu'il y a 1 an, on m'a vanté le dossier numérique et on m'a demandé si je voulais y adhérer. J'ai refusé car pas sur, quand je vois qui pouvait y avoir accès, même sans être expert en secu, c'était effrayant.
Là ça ne donne clairement plus envie !
D'ailleurs je me demande depuis une semaine environ que j'ai entendu la news, quels '' recours '' possibles pour :
- ceux ayant le dossier électronique qui voudraient cesser à cause de fuite
- ceux victimes de la fuite vers qui se tourner pour avoir justice... Car même si la cnil est dessus maintenant, rien ne dit quoi et comment faire pour limiter les dégâts, si ce n'est de changer le mdp. Car toute donnée médicale liée au compte assuré est dans la nature maintenant, n'importe qui peut savoir que telle personne a fait une ivg, à eu un examen de xxxxx avec qui, quand, le résultat, qui a fait une analyse de sang et son résultat...
Et que peut faire la justice vu que quand on voit les fuites de presque 10 ans avec Adobe et j'en passe, tout circule toujours sur le net et vu les usurpation d'identité et chantage massif en croissance exponentielle, ça risque de faire du brin par la suite, voir que dzq assurance ou autres rachètent ça pour mieux connaître les futurs clients qui voudraient cacher des pb de santé pour souscrire à un crédit peut être...
Ce qui est honteux c'est qu apparemment les entreprises ont 48/72h pour prevenir d'une fuite de données... Sur ce fichier il y a ma compagne, ma soeur, beau frère, mère, oncle, ex compagne et personne ne les as prévenu mis à part moi...
Il n'y a pas de mot de passe créé par les patients sur le fichier mais seulement des mots de passes automatiquement créés par les différents labo.
Pour info le site que je t ai donné, ma compagne n'apparaissent pas. Après quelques recherches j ai trouvé le fichiers et elle est bien dessus. Au niveau des régions il n'y a pas que le centre de la France , en cherchant mes proches j'ai aperçu des gens du 27 et pour y avoir vécu si tu es du 76 c'est à côté ;).
Un site qui m avais permis de retrouvé que mon compte Spotify (avait été piraté) apparaissait: https://haveibeenpwned.com/
Je l'utilise de temps en temps pour voir si il n y a pas eu d autres failles, ce n est paq fiable a 100% car beaucoup d'entreprises ne communiquent pas mais il a le mérite d'exister ce site.
Non aucune (la ce sont certains labo qui ce sont fait piratés) mais cela n'inspire pas confiance non plus dans le fichier médical partagé dans la mesure ou la France en confie les clés à Microsoft
Je suis enregistré auprès de deux labos d'analyses différents.
Quand tes analyses sont prêtes ils t'envoient un eMail avec un login permettant d'accéder aux résultats, et le mot de passe est sur le même modèle pour tous les patients des deux labos (qui ont sans doute le même logiciel, d'ailleurs ?) : 19900714 pour quelqu'un né le 14 juillet 1990.
Avec un tel système et un poil d'ingénierie sociale n'importe quel hackeur peut obtenir facilement des infos fraiches sur une personne.
Là les hackeurs se sont servis à la source, la sécurité a été très légère. Les conséquences pour les patients pourront être très importantes, et surtout ils ne pourront rien y changer.
Bonjour,
Il me semble que les laboratoires devrait être aussi dans l’obligation de prévenir les patients, car ce sont eux les premiers concernés ...