Vol et publication de dossiers de patients en psychothérapie

0
148

Les dossiers de traitement confidentiels de dizaines de milliers de patients en psychothérapie en Finlande ont été piratés et certains d’entre eux ont été divulgués sur Internet. Les données ont été dérobées à la société privée Vastaamo, qui gère 25 centres de psychothérapie à travers le pays.

De nombreux patients ont déclaré avoir reçu des courriels demandant 200 € en bitcoin pour empêcher que le contenu de leurs discussions avec les thérapeutes ne soit rendu public. En Finlande, les dossiers de milliers de patients en psychothérapie ont été piratés et font désormais l’objet d’un chantage. Les données ont été dérobées à la société privée Vastaamo, qui gère 25 centres de psychothérapie dans le pays.

Une nouvelle fois, des bases de données accessibles depuis Internet et insuffisamment protégées (mots de passe, chiffrement) semblent être en cause.

Ci-dessous le commentaire de Laurie Mercer, Ingénieur Sécurité chez HackerOne :

“Ce piratage de dossiers de patients en psychothérapie et les tentatives d’extorsion ultérieures de ces patients représentent une nouvelle étape majeure en matière de cybercriminalité visant les organismes de santé. Malheureusement, les fuites de données résultant de l’exposition publique de bases de données se produisent plus fréquemment qu’elles ne le devraient. Et il suffit de peu de temps pour que les données d’une base de données exposée soient compromises. C’est pourquoi le chiffrement doit être systématiquement mis en œuvre lorsque les données doivent rester confidentielles. Si un logiciel a accès à des données sensibles, alors ces données doivent être chiffrées, qu’elles soient en transit ou stockées de manière durable. Mais même le chiffrement ne suffit pas à garantir la sécurité des données des clients puisqu’en cas de vol, il reste possible de les mettre en vente afin que ceux qui le souhaitent s’efforcent de les déchiffrer. 

Pour toutes ces raisons, il est souhaitable d’établir une stratégie de cybersécurité qui implique l’ensemble de la communauté des hackers éthiques et des chercheurs en sécurité. Cette approche fournit un niveau de protection supplémentaire en permettant d’identifier les bases de données à risque avant qu’un cybercriminel ne le fasse. Jusque-là, le secteur de la santé s’est montré peu enclin à adopter ces nouvelles méthodes, mais les choses changent et, l’année dernière, nous avons vu une augmentation de l’ordre de 200 % dans l’adoption par les organismes de santé de politiques qui aident les hackers à signaler les vulnérabilités de manière responsable. Compte tenu du nombre d’attaques qui visent les établissements de santé et leurs patients, et compte tenu de la numérisation croissante de ce secteur tandis que la pandémie se poursuit, il est important que les établissements de santé poursuivent leur démarche d’innovation et adoptent les pratiques de sécurité les plus souples et les plus efficaces.”

De nombreux patients ont déclaré avoir reçu des courriels demandant 200 € en bitcoin pour empêcher que le contenu de leurs discussions avec les thérapeutes ne soit rendu public.

Ci-dessous la réaction de Christophe Lambert, Directeur Technique Grands Comptes EMEA chez Cohesity :

« Le chantage et la menace de divulgation publique de données confidentielles se sont largement développés ces derniers mois. Ils s’imposent comme un nouvel outil dans l’arsenal des cybercriminels, soucieux d’optimiser la rentabilité des attaques informatiques et des vols de données réussis. Leur méthode repose sur la peur. Les victimes ne sont jamais certaines de la quantité ni de l’importance des données subtilisées. Dans le doute, elles peuvent être tentées de payer. Les entreprises savent qu’il est recommandé de s’en abstenir et en fonction de la criticité des données qu’elles gèrent, il est effectivement souvent préférable, sinon facile, de ne pas céder au chantage. Mais cette fuite de données spécifique, comme la plupart des fuites dans le secteur de la santé, touche à des informations extrêmement personnelles, voire intimes. Il s’agit d’ailleurs d’une première en matière de rançon, les cybercriminels préférant en général les gros coups rentables ont cette fois pris le temps de contacter personnellement les individus. Si les contenus des conversations psy normalement confidentielles et placées sous le sceau du secret médical, devaient être rendues publiques, les conséquences pourraient être considérables tant au niveau relationnel que professionnel pour des personnes parfois fragiles. Chiffrer les données quand elles transitent et quand elles sont archivées, vérifier le niveau de protection des bases de données devrait devenir des bonnes pratiques appliquées de manière systématique dans le secteur médical, plus encore que dans les autres secteurs. Si la sécurité ne devient pas la priorité première de notre nouvelle économie numérique, cet acte malveillant pourrait bien être le premier d’une série de fuites de données aux conséquences potentiellement dramatiques. »