La presse a révélé, le 23 février 2021, que les informations confidentielles de près de 500 000 patients français ont été dérobées à des laboratoires de biologie médicale. Ces données regroupées dans un fichier ont préalablement circulé dans des cercles privés de pirates informatiques avant d’être diffusées sur des espaces web publics tels que des forums.
Selon les différentes informations parues, ce fichier comporterait, entre autres, les nom, adresse, téléphone, adresse email, date de naissance, numéro de Sécurité sociale, assurance ou mutuelle et mots de passe d’un demi-million de personnes.
Ces mots de passe (pour accéder aux analyses médicales) semblent choisis par les utilisateurs (et non générés aléatoirement par les laboratoires) : ils peuvent donc potentiellement être utilisés pour avoir accès à d’autres services, comme leur boîte mail, s’ils utilisent le même.
Les personnes piratées sont des cibles de choix pour du phishing personnalisé (envoi de faux messages ou de faux documents pour récupérer des informations personnelles ou de l’argent). Mais ils peuvent aussi, par exemple, faire l’objet de tentative d’usurpation d’identité de numéro de Sécurité sociale.
Aussi, Henner, soucieux de préserver vos intérêts, tenait à vous conseiller d’être particulièrement vigilants et vous invite à prendre connaissance des préconisations de la CNIL (Commission nationale de l’informatique et des libertés) du 1er mars 2021 ci-après détaillés qui pourront vous y aider.
Lorsque la violation de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes victimes d’une cyberattaque ont l’obligation d’informer directement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne.
Cela peut être le cas si, comme la presse l’a annoncé, des données de santé particulièrement sensibles ont été divulguées et en nombre important.
Si cette violation vous concerne, l’organisme responsable doit vous en informer dans les meilleurs délais. Tous les laboratoires de biologie médicale ont notifié la CNIL et ont indiqué qu’ils allaient informer les personnes concernées. La CNIL s’assurera que cette information soit faite dans les plus brefs délais.
Henner vous précise toutefois que La CNIL n’est pas en mesure de vous informer de la présence de vos données dans ce fichier.
Attention : certains sites web indiquent détenir le fichier de données et pouvoir vous dire si vous êtes ou non concerné(e). La CNIL déconseille de les consulter.
Les principaux risques sont l’hameçonnage (phishing) ou l’usurpation d’identité :
L’hameçonnage consiste à vous envoyer un courriel ou SMS frauduleux qui vous paraîtra réaliste du fait de l’utilisation des données récupérées grâce à la fuite de données (un soi-disant courriel de votre médecin ou de la sécurité sociale par exemple). N’y répondez pas, n’ouvrez surtout pas les pièces jointes, ne consultez pas les liens et supprimez le message immédiatement.
Si vous pensez être victime d’une usurpation d’identité à la suite de la divulgation d’informations vous concernant, vous pouvez :
Si l’usurpation est confirmée, demandez auprès des services de la CNIL une consultation du fichier des comptes bancaires (FICOBA) afin de savoir si des comptes ont été ouverts à votre nom par l’escroc.
Que faire si votre mot de passe est présent dans cette fuite de données ?
Des mots de passe peuvent également être présents dans cette fuite de données. Si vous êtes concerné(e), l’organisme devra vous en informer.
Afin de limiter les risques, et sans attendre cette information de l’organisme, vous pouvez adopter quelques gestes simples :
