Pour faire passer les résultats du test Covid-19, les agents de l’AP-HP se servaient d’un service de diffusion de fichiers fonctionnant sur HCP Anywhere, un logiciel vendu par Hitachi Vantara. Cependant, la vulnérabilité zero-day a permis aux pirates d’entrer en possession des données de santé de 1,4 million personnes.
A voir aussi : Anaca3 : comment suivre le mode d'emploi pour des résultats impressionnants
View this post on Instagram
A voir aussi : Covid-19 : nette augmentation du taux d’incidence sur les personnes du troisième âge !
Logiciel de partage
Le logiciel de partage est vendu par Hitachi Vantara, filiale du géant japonais qui a été créé en 2017 de la fusion entre Hitachi Data Systems, Hitachi Insight et Pentaho. Mettant en marche le service « dispose » de l’AP-HP, il assure l’échange de documents entre les équipes du groupe hospitalier francilien. C’est un peu une sorte de « Dropbox ».
Bien avant que ce logiciel ne devienne automatique, il a servi à envoyer les résultats des tests Covid-19 à l’Assurance maladie dans le mois de juin 2020 et vers octobre 2020.
Selon les médias, chaque fois qu’il est envoyé par courrier, un mot de passe est envoyé à l’assurance maladie via un « canal séparé ». De façon théorique, les informations sont effacées manuellement après chaque transmission, et le lien grâce auquel on pouvait y accéder devrait « s’autodétruire » au bout de 7 jours.
Les mots de passe ainsi que les données n’ont pas été effacés
En matière de sécurité informatique, la théorie et la pratique ne vont pas toujours ensemble. Ainsi, les informations transmises via Dispose ont finalement été conservées sur les serveurs du groupe hospitalier pendant près d’un an. Toute personne qui avait le lien, pouvait alors visiter la page de téléchargement et ainsi accéder aux données confidentiels des patients.
Cette situation est causée par une faille de sécurité au niveau du logiciel HCP Anywhere. Grâce à ce logiciel, l’on pouvait contourner la protection fournie par le mot de passe et de récupérer les données. Ce que des hackers ont fait en volant les données de 1,4 million de patients.
L’AP-HP a envoyé des e-mails aux victimes de l’attaque indiquant que les données avaient même été publiés sur le « site de téléchargement hébergée en Nouvelle-Zélande ». Martin Hirsch, le patron de l’organisation a précisé que « cet accès a été interrompue le 14 septembre 2021 ».
Des tentatives d’hameçonnages ou d’escroqueries
Les investigations judiciaires et internes actuelles devraient fournir plus d’informations, notamment préciser si l’AP-HP n’a pas rempli son rôle de protection de la sécurité informatique.
Dans le même temps, les personnes qui ont été victimes de cette attaque doivent prêter attention aux tentatives d’hameçonnage ciblées, aux escroqueries, aux extorsions ou atteintes à leur image ou à leur réputation, voire aux tentatives d’invasion de leurs comptes en ligne.
View this post on Instagram
L’AP-HP présente ses excuses aux patients
« Nous nous en excusons. » Dans une lettre aux patients victime de l’attaque informatique, l’Aide publique des hôpitaux de Paris (AP-HP) s’est excusée pour la violation des données personnelles de 1,4 million de personnes qui ont fait les tests de Covid-19.
Le message consulté par France Inter, explique que cette violation implique des données d’identification (nom, prénom, date de naissance, sexe), l’adresse de sécurité sociale, les contacts personnels, et les informations sur les tests de Covid-19 réalisés. Il a été envoyé à 600 000 personnes ayant renseigné leurs adresse e-mail.
