Fuite de données médicales : près de 500000 victimes en France

Les données proviendraient d’une trentaine de laboratoires de biologie médicale, situés pour l’essentiel dans le quart nord-ouest de la France,

Une fuite de données concernerait près de 500 000 clients de laboratoires. (Illustration)
Une fuite de données concernerait près de 500 000 clients de laboratoires. (Illustration) AFP/Jonathan Nackstrand

Un fichier comportant des données médicales sensibles pour une liste de près de 500 000 personnes en France circule sur internet, selon des informations de Libération et du blog spécialisé en cybersécurité Zataz.

Le fichier comporte 491 840 noms associés à des coordonnées (adresse postale, téléphone, email) et un numéro de sécurité sociale. Ils sont parfois accompagnés d’indications sur le groupe sanguin, le médecin traitant ou la mutuelle, ou encore de commentaires sur l’état de santé (dont une éventuelle grossesse), des traitements médicamenteux, ou des pathologies (notamment le VIH).

Selon la rubrique de vérification Checknews du quotidien Libération qui a enquêté sur le sujet, les données proviendraient d’une trentaine de laboratoires de biologie médicale, situés pour l’essentiel dans le quart nord-ouest de la France, utilisant un même logiciel de saisie de renseignements médico-administratifs. Elles correspondent selon le journal à des prélèvements effectués entre 2015 et octobre 2020.

Un fichier au cœur d’une négociation commerciale

« On peut retrouver ce fichier à 7 endroits différents sur internet », a précisé Damien Bancal, journaliste spécialiste de la cybersécurité, qui a le premier identifié la fuite le 14 février sur son blog Zataz. Selon lui, ce fichier était l’objet d’une négociation commerciale entre plusieurs pirates sur un groupe Telegram spécialisé dans l’échange de bases de données volées, et l’un d’entre eux l’a diffusé gratuitement suite à une dispute. « 500 000 données, c’est déjà énorme et rien n’empêche de penser que les pirates en possèdent encore beaucoup plus », explique-t-il.

Sollicitée mardi soir par l’AFP, l’Agence nationale des systèmes d’information (Anssi) n’a pas répondu. La Cnil, gendarme des données personnelles, et la direction générale de la santé n’étaient pas non plus en mesure de commenter cette information.