Cyberattaque AP-HP : 1,4 million de personnes testées au COVID-19 victimes d'un vol de données

16 septembre 2021 à 12h10
11
Test Covid © Pexel / Polina Tankilevitch
© Pexel / Polina Tankilevitch

L'Assistance Publique - Hôpitaux de Paris (AP-HP) annonce avoir porté plainte après avoir constaté un vol de fichiers qui concernent des centaines de milliers de personnes testées dans le cadre du dépistage de la Covid-19. Des failles de sécurité ont facilité la cyberattaque.

L'AP-HP vient de subir un sérieux couac sur le plan des données personnelles . L'établissement public a en effet été victime d'un vol massif qui résulte d'une cyberattaque menée dans le courant de l'été, assaut confirmé le 12 septembre. Mercredi, l'AP-HP a évoqué une attaque informatique de grande ampleur, directement portée sur un service sécurisé de partage de fichiers , hébergé et utilisé par l'établissement. Le service en question permet à l'AP-HP de stocker et de partager des fichiers à la fois en interne et en externe. Les données d'environ 1,4 million de personnes sont concernées.

La défaillance sécuritaire du système de substitution mis en place par l'AP-HP

De façon très transparente, l'Assistance publique - Hôpitaux de Paris indique que le service touché fut utilisé en septembre 2020 en soutien et en complément du système d'information national de dépistage (SI-DEP), qui rencontrait alors des problèmes techniques. Précisons-le : ce n'est pas le SI-DEP qui est concerné par l'attaque, mais bien le système sécurisé de partage de fichiers, le système ici de substitution de l'AP-HP.

Ce dernier avait permis, à ce moment-là, de transmettre des données utiles au contact tracing (suivi et accompagnement des personnes) à l'Assurance Maladie et aux différentes Agences Régionales de Santé, dans le cadre des tests de dépistage de la Covid-19.

Personnes testées et soignants : tous sont concernés par le vol de données

Parmi les données volées, on retrouve l'identité, le numéro de sécurité sociale et les coordonnées de 1,4 million de personnes, testées autour de la mi-2020 dans la région Île-de-France. L'identité et les coordonnées des professionnels de santé sont aussi dans le lot, tout comme les caractéristiques et les résultats des tests réalisés.

L'AP-HP, qui précise avoir fait un signalement à l'ANSSI (Agence nationale de sécurité des systèmes d'information), a également notifié l'incident à la CNIL (Commission nationale de l'informatique et des libertés), comme l'exige le RGPD dès qu'un vol de données est constaté. Une plainte a par ailleurs été déposée sur le bureau du Procureur de la République de Paris, après le vol. L'établissement public précise son intention de contacter individuellement les personnes concernées dans les prochains jours.

Des failles de sécurité qui posent question

D'un point de vue technique, l'AP-HP nous informe que « les premières investigations suggèrent que le vol pourrait être lié à une récente faille de sécurité de l’outil numérique de partage de fichiers acquis par l’AP-HP et hébergé sur ses propres infrastructures techniques ».

En d'autres termes, l'Assistance publique - Hôpitaux de Paris a bien été victime de failles logicielles de sécurité, qui témoignent d'un certain manque de compétences informatiques au sein de certaines grandes institutions qui utilisent donc, au quotidien pour certaines, des systèmes dits « sécurisés », mais garnis de brèches multiples. Une carence dénoncée par de nombreux acteurs du secteur de la cybersécurité ce jeudi matin.

Source : AP-HP

Modifié le 16/09/2021 à 14h16
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
11
9
yam103
La santé n’est pas un Buzynness. C’est bien dommage que la sécurité ne soit pas prise au sérieux par les responsables.
Pronimo
Mais ou sont ces fameux experts sécurité en IT?
Popoulo
A pole emploi.<br /> Le gars de l’entretien des espaces verts s’en occupait. La légende raconte même que le w-e il monterait ses propres PC et qu’il aurait même reussi à cracker la dernière tondeuse à gazon.<br /> C’est imagé mais du déjà-vu. Quand vous faites un audit et que vous proposez des solutions, il arrive trop souvent qu’on vous réponde «&nbsp;en fait, c’est trop contraignant, trop cher, ça risque rien, et puis on a quelqu’un qui s’y connait bien en ordinateur blablabla&nbsp;». Et quand la cata arrive, ça vient demander des miracles.
nicgrover
C’est très vrai et le terme à retenir est «&nbsp;trop cher&nbsp;»… Déjà les hôpitaux manquent de moyens si en plus ils doivent payer un audit sécurité… L’état ouvre ses succursales et c’est open bar pour les hackers…
Popoulo
Tout à fait juste. C’est un service qui passe bien après le reste concernant les hopitaux et c’est compréhensible d’avoir certaine priorités quand on sauve des vies. J’avais un pote qui travaillait dans un hopital de Montpellier. Et déjà à l’époque (une 20aine d’années) quand il me racontait le bricolage qu’ils devaient faire pour réparer un simple PC, fallait pas imaginer pour le reste.<br /> L’Etat français devrait penser à distribuer un peu plus dans ces frontières qu’en dehors.
nicgrover
Tout à fait d’accord.
Fodger
Quand bien même, c’est une vraie galère de gérer tout ça, ça devient très vite très complexe.<br /> L’utilisateur moyen n’est pas très malin et on a pris cette fâcheuse manie de tout interconnecter, ce qui augmente grandement les risques.
Pronimo
Oui sans doute le plus gros problèmes. Des architectures a rallonges, interconnectés entre différentes API, base de données, micro-services et les couches erp, crm… forcement difficile avoir l’œil pour être sures que chacune d’entres elles n’a pas une règle de sécurité en moins qui traîne quelque part ^^
bmustang
sur le green !
userresu
Exact, sans parler des utilisateurs qui hurlent dès que l’on essaye de rajouter une couche de sécurité en plus comme de la double authentification et des mots de passe à changer plus régulièrement («&nbsp;rolala mais vous nous soûlez, on a un métier, nous !&nbsp;» ou alors «&nbsp;Purée mais c’est vraiment trop chiant, je vais me plaindre à mon responsable car là tu m’empêches juste de travailler.!&nbsp;»)…
ar-s
C’est de notoriété public que les hôpitaux ont une infrastructure réseau souvent déplorables.
Voir tous les messages sur le forum

Lectures liées

Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Guerre de l'information : le ministère des Armées se dote d'une
Google communique sur les attaques informatiques qui visent les youtubeurs depuis 2019
L'Argentine victime d'un piratage hors norme, les données de Lionel Messi dans le lot
La Chine et la Russie soupçonnées d'ingérences numériques, ces mesures qui vont permettre de surveiller la campagne présidentielle
Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo
Plusieurs vulnérabilités ont été trouvées dans WP Fastest Cache, un plugin WordPress populaire
Acer s’est fait voler des données pour la deuxième fois et par le même groupe de hackers
VPN : Surfshark fait encore chuter ses prix pour un deal immanquable (-80%)
Des hackers chinois piratent iOS 15.0.2 en quelques secondes, mais Apple n'est pas leur seule victime
Haut de page