L’Hôpital Privé de la Loire à Saint-Étienne a été victime d’une cyberattaque d’envergure. Un pirate informatique affirme détenir des centaines de milliers de dossiers de patients et de cartes d’identité.
Un hôpital français a une nouvelle fois été la cible d’une cyberattaque. Clément Domingo (alias SaaX) a révélé sur Twitter une fuite de données touchant l’Hôpital Privé de la Loire (groupe Ramsay Santé) situé à Saint-Étienne.
L'établissement a confirmé qu’une « personne malveillante » était parvenue à « se connecter depuis l’extérieur à un logiciel de l’Hôpital Privé de la Loire » et à « procéder à l’exfiltration d’une quantité importante de données à caractère personnel ». Il indique également avoir porté plainte et notifié l’incident auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), de l’Agence Régionale de Santé (ARS) et du CERT Santé. Les données de facturation ne sont pas concernées par la fuite. 40 patients ont néanmoins vu certaines de leurs données médicales exposées.
Le pirate affirme de son côté être en possession de 530 000 dossiers de patients et de 45 000 cartes d’identité. Le doute plane toutefois sur le nombre réel de personnes touchées. Un responsable de l’établissement a expliqué à l’AFP qu’un e-mail avait été envoyé « à plus de 126 000 patients concernés par le piratage informatique de l’Hôpital Privé de la Loire (HPL), et que les 40 d’entre eux dont les données médicales ont été compromises seront contactés individuellement ».
Dans le détail, les données compromises incluent : prénoms, dates de naissance, sexe, pays, adresses, numéros IPP, informations liées à l’assurance, documents administratifs, cartes d’identité, et noms des médecins traitants. Autant d’informations susceptibles de faciliter des campagnes de phishing ciblées.
Des données bientôt mises en vente ?
Pour parvenir à ses fins, le cybercriminel, francophone, a obtenu les identifiants d’un médecin de l’établissement. Grâce à une faille dans l’URL d’un outil de gestion interne, il aurait infiltré l’infrastructure de l’hôpital et exfiltré les données sur plusieurs jours. En guise de preuve, il a publié un lien renvoyant vers un échantillon des données volées, ainsi qu’une vidéo où il examine divers documents et dossiers de patients rapporte SaaX.
Selon les informations de ce dernier, la base de données doit être mise en vente dans les prochains jours. Le pirate avait initialement donné 72 heures à l’établissement pour entrer en contact avec lui. On ignore si l’établissement a reçu une demande de rançon.
Les attaques contre les hôpitaux peuvent avoir de lourdes conséquences. Si, dans ce cas précis, le fonctionnement de l’établissement et la prise en charge des patients n’ont pas été perturbés, ce n’est pas toujours le cas. Fin juin, le King's College Hospital NHS Foundation Trust de Londres a confirmé qu’un patient était « décédé de manière inattendue » à la suite d’une cyberattaque par ransomware perpétrée par le groupe russe Qilin un an plus tôt. L’enquête a révélé que le délai dans la transmission des résultats d’une analyse de sang, en raison de l’impact de l’attaque sur les services de pathologie, avait contribué à la mort du patient.
