dossiers medicaux
Produits et Services PRODUITS & SERVICES

80 000 dossiers médicaux retenus en otage par des hackers

CarePartners a été victime d'une violation de données ayant ciblé des dossiers médicaux. L’entreprise a déclaré que seules les données financières et de santé des patients et des employés avaient été "accessibles de manière inappropriée par des cybercriminels", sans préciser la taille ou l'étendue de cette violation.

Les violations de données sont souvent de mystérieuses affaires dans lesquelles les entreprises ciblées, de leur côté, en disent le moins possible et les cybercriminels, quant à eux, restent en sécurité tapis dans l’ombre.

La violation des dossiers médicaux au sein de la société canadienne CarePartners, qui fournit des services de soins au nom du gouvernement de l’Ontario, semble se transformer en une malheureuse exception qui confirme cette règle.

CarePartners a rendu la violation publique en juin dernier, en déclarant que seules les données financières et de santé des patients et des employés avaient été “accessibles de manière inappropriée par les auteurs” sans préciser la taille ou l’étendue de cette violation.

Et il en aurait été ainsi si les cybercriminels n’avaient pas décidé de communiquer avec la Canadian Broadcasting Corporation (CBC) cette semaine, en fournissant plus de détails sur leurs exploits. Ils ont également révélé une information des plus intéressantes, à savoir qu’ils ont exigé que CarePartners paie une rançon afin de ne pas divulguer les données volées :

Nous avons demandé une compensation en échange d’une aide pour résoudre leurs problèmes de sécurité et pour ne pas divulguer les données sur internet.  

Pour confirmer la réalité de cette menace, les cybercriminels ont envoyé à la CBC un ensemble de données comprenant des milliers de dossiers médicaux contenant les dates de naissance, les données de santé, les numéros de téléphone et les détails des interventions chirurgicales et des traitements médicaments passés.

D’autres fichiers contenaient 140 numéros de carte de crédit de patients, avec les dates d’expiration et les codes de sécurité, ainsi que des relevés d’impôts des employés, les numéros de sécurité sociale, les coordonnées bancaires et les mots de passe en clair.

Le cache contenait des milliers de dossiers, a déclaré CBC, mais les cybercriminels ont affirmé que des centaines de milliers de dossiers étaient impliqués.

Les divergences entre l’évaluation de la violation faite par CarePartners et les nouvelles informations transmises par les pirates à CBC, est réellement préoccupant dans ce cas précis.

Selon CBC, CarePartners a déclaré que son enquête forensique avait identifié 627 dossiers médicaux de patients et 886 dossiers d’employés qui faisaient partie de cette violation, toutes les personnes concernées ayant été informées de ce problème de sécurité.

Et pourtant, l’échantillon envoyé par les hackers contenait les noms et les coordonnées de plus de 80 000 personnes.

Lorsque les journalistes de CBC ont contacté un petit échantillon de ces individus, aucun n’a déclaré avoir été contacté par CarePartners.

Selon les cybercriminels, ils ont eu accès aux données après avoir découvert des logiciels vulnérables qui n’avaient pas été mis à jour depuis deux ans, et ils ont ajouté que :

Cette violation de données a touché des centaines de milliers de Canadiens et était complètement évitable. Les données dont nous disposons n’ont pas été chiffrées.  

Au-delà du fait qu’une violation sérieuse s’est produite, aucun de ces détails ne peut être, bien sûr, confirmé.

Rendre public une demande de rançon faite à un organisme public est probablement un signe de désespoir de la part des cybercriminels, qui va à l’encontre des pratiques standards en matière d’extorsion.

La première règle de l’extorsion est de garder le secret, car toute publicité peut rendre plus difficile le paiement par les entreprises et peut même les forcer à signaler l’affaire à la police.

Le fait que les hackers aient enfreint cette règle n’est pas une bonne nouvelle. S’ils ont abandonné tout espoir d’être payé, alors le risque est élevé de voir apparaître les données sur un serveur public, où elles rejoindront un océan d’autres données personnelles de santé qui vivent dans les recoins les plus sombres d’internet.

Comme pour toute violation de données, les affaires qui font l’actualité aujourd’hui ne sont que les prémisses d’autres cas qui ne cesseront de se multiplier ces prochaines années et dont les conséquences réelles sont difficiles à prévoir.


Billet inspiré de Hackers hold 80,000 healthcare records to ransom, sur Sophos nakedsecurity.