PIRATAGE. Les résultats de tests Covid avec les données personnelles de quelque 1,4 million de personnes ont été piratées sur un service de partage de fichiers utilisé par l'Assistance Publique - Hôpitaux de Paris (AP-HP).
Si vous avez effectué un test de dépistage Covid-19 en Ile-de-France au cours des derniers mois, il est possible que certaines de vos données personnelles (votre identité, votre numéro de sécurité sociale et vos coordonnées, mais aussi le résultat du test réalisé) soient aujourd'hui tombées dans les mains d'acteurs malveillants. L'Assistance Publique - Hôpitaux de Paris (AP-HP) a en effet confirmé dimanche 12 septembre avoir été victime cet été d'un piratage informatique qui aurait permis de dérober les données personnelles d'environ 1,4 million de patients. Cette cyberattaque ciblait "un service sécurisé de partage de fichiers", utilisé "de manière très ponctuelle en septembre 2020". Service que l'AP-HP utilise pour transmettre à l'Assurance maladie et aux agences régionales de santé (ARS) des données issues de laboratoires de biologie médicale utiles au suivi et à l'accompagnement des personnes (le fameux contact tracing). Ledit service permettait (en théorie) aux Hôpitaux de Paris d'assurer le stockage et le partage sécurisé de fichiers, en interne et en externe.
Les données de 1,4 million de personnes testées ont été dérobées
En revanche, le fichier national des tests de dépistage (SI-DEP) n'a, lui, pas été visé, précise l'AP-HP. "Aucune autre donnée médicale que celles strictement liées à la réalisation du test n'est concernée", poursuit l'AP-HP dans un communiqué publié le mercredi 15 septembre. Les personnes victimes de cette attaque informatique "seront informées individuellement dans les prochains jours", indiquent les Hôpitaux de Paris. L'AP-HP a porté plainte auprès du Procureur de la République. Avertie (tout comme l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information) de cet acte de piratage, la CNIL (Commission nationale de l'informatique et des libertés) a ouvert une enquête. Le ministère de la Santé a indiqué à l'AFP son intention de déposer plainte pour que "toute la lumière soit faite sur cette fuite, ses conséquences, et que toutes les mesures nécessaires soient prises pour qu'un tel événement ne se reproduise pas".
À la faveur de la crise sanitaire actuelle et de failles de sécurité informatique parfois béantes, les tentatives d'attaques informatiques contre des systèmes de stockage de données de santé se multiplient. Le 31 août dernier, le quotidien en ligne Mediapart révélait ainsi que plus de 700 000 résultats de tests antigéniques, et les données personnelles de patients (noms, prénoms, dates de naissance, adresses, numéros de téléphone, numéros de sécurité sociale et adresse e-mail) avaient été accessibles en quelques clics, durant des mois, sur le site de Francetest, un service en ligne transférant les données des pharmaciens vers le fichier SI-DEP (le fichier national des tests de dépistage).