Les hackers ont diffusé des données particulièrement sensibles après le piratage de l’établissement. Avec à la clef plusieurs risques pour les victimes.
Fin août, l’hôpital de Corbeil-Essonnes était victime d’un piratage d’ampleur, mettant à mal son fonctionnement. Après avoir réclamé 10 millions d’euros, les hackers du groupe LockBit 3.0 – également à l’origine du piratage de La Poste Mobile – ont réduit la somme à 2 millions.
Ayant utilisé un rançongiciel, un virus qui chiffre l’ensemble des données des réseaux informatiques de sa victime, les pirates promettaient de rendre l’accès à ces données en échange du paiement. Face au refus de l’établissement de régler cette somme, ils ont diffusé ce 24 septembre de nombreuses données personnelles. Selon l’hôpital, les données diffusées regroupent des informations très sensibles liées aux patients, à commencer par des données personnelles liées à des pathologies, à des consultations ou à des examens médicaux.
Parmi les informations concernées figurent “certaines données de santé telles que des compte-rendus d’examen et en particulier des dossiers externes d’anatomocytopathologie, de radiologie, laboratoires d’analyse, médecins” explique ainsi l’établissement.
Pour les hackers, ces données ont plusieurs finalités. S’ils n’ont pas pu récupérer d’argent grâce à leurs tentatives d’extorsion, ils pourront malgré tout monétiser ces informations, directement ou indirectement.
Revente ou hammeçonnage
Dans un premier temps, les hackers pourraient choisir de revendre des lots de données à des groupes d’escrocs en ligne, qui prendront ensuite le temps des les étudier pour les mettre à profit dans le cadre de tentatives d’escroqueries.
Parmi les hypothèses les plus plausibles figurent les tentatives de hammeçonnage: des mails ou SMS se faisant passer pour des organismes publics ou de grandes entreprises, afin d’inciter la victime à cliquer sur un lien pour renseigner des informations personnelles. Avec de telles données médicales, les escrocs pourraient ainsi personnaliser bien davantage leurs messages pour gagner la confiance de leur cible. D’autres utilisations, comme “l’arnaque au président” sont aussi évoquées.
“Si je sais que monsieur X est chef d’entreprise et que je me rends compte qu’il prend un traitement pour une certaine maladie, cela va me permettre de connaître des informations très sensibles sur sa vie et son environnement” analyse Damien Bancal, expert en cybersécurité, auprès de BFMTV.
“Cette cible pourra alors se transformer en fraude au faux virement, avec le pirate qui pourra tenter de détourner de l’argent [en contactant certains collaborateurs de l’entreprise, ndlr] par exemple en se faisant passer pour sa pharmacie” poursuit-il.
Une hypothèse qui n’exclut pas d’autres scénarios, dans le cas où les données compromises concerneraient des personnalités publiques, politiques ou économiques de premier plan. Avec à la clef un risque de chantage adressé directement à la victime concernée et des menaces de diffusion d’informations sur son état de santé.
Comme la loi l’y oblige, l’établissement hospitalier préviendra chaque victime identifiable dans les données piratées et diffusées par les hackers du groupe LockBit 3.0.