Piratage de l’AP-HP : Pourquoi ce type de données intéresse-t-il les pirates informatiques ?

CYBERATTAQUE Les hôpitaux de Paris ont annoncé la semaine dernière s’être fait voler les données personnelles d’1,4 million de patients ayant réalisé un test Covid courant 2020

Caroline Politi
— 
L'AP-HP a été victime d'un vol de données de grande ampleur cet été.
L'AP-HP a été victime d'un vol de données de grande ampleur cet été. — Francois Lo Presti afp.com
  • Des pirates informatiques ont volé un fichier contenant les informations personnelles d'1,4 million de patients de l'AP-HP cet été. 
  • Ces listings sont généralement revendus sur le Darkweb et servent à monter des escroqueries, à l'instar du phishing ou des usurpations d'identité. 
  • L'AP-HP et le ministère de la Santé ont porté plainte. 

L’attaque a eu lieu en plein cœur de l’été mais n’a été confirmée qu’à la mi-septembre : des pirates informatiques ont dérobé à l’Assistance publique-Hôpitaux de Paris les données personnelles de 1,4 million de patients. Leur point commun : tous avaient réalisé à la mi-2020 un test de dépistage du Covid-19 et avaient fourni leur identité, coordonnées complètes et numéro de Sécurité sociale pour le « contact tracing ». Mais pourquoi les pirates s’intéressent-ils à ce type de données ? Que vaut le fait de savoir qu’untel ou untel a été infecté il y a plus d’un an ? D’autant que l’affaire est loin d’être isolée : fin août, c’est un listing de 700.000 noms, adresses et numéro de Sécurité sociale qui a été volé sur un site permettant aux pharmacies de transmettre les résultats des tests antigéniques.

« Ce qui fait la valeur de ces fichiers, c’est la qualité des informations contenues : elles sont récentes et fiables », analyse Me Jérôme Déroulez, avocat spécialisé dans la protection des données. Et pour cause : quand on donne ses coordonnées à l’hôpital ou à la pharmacie, on fournit généralement sa dernière adresse, le mail qu’on consulte fréquemment ou son numéro de portable. Si certains piratages donnent lieu à un chantage auprès des établissements victimes – notamment lorsque les données volées comportent des informations sensibles – la majorité des pirates se contente de revendre ces informations sur le Darkweb.

Phishing, usurpation d’identité, assurance…

Car le marché est juteux. « Le prix des listings varie en fonction de ce qu’il contient, assure Gérôme Billois, expert en cybersécurité au sein du cabinet Wavestone. Les plus chers sont évidemment ceux qui contiennent les coordonnées bancaires mais pour les identités cela peut aller jusqu’à deux ou trois euros par nom lorsqu’il y a des informations complètes et précises. » Il ne serait ainsi pas surpris qu’un listing comme celui de l’AP-HP se monnaye près d’un million d’euros au marché noir.

Ces informations permettent ensuite de mettre en place des escroqueries qui peuvent rapporter gros. A commencer par le « phishing », ces mails frauduleux qui se font passer pour votre banque, assurance, centre des impôts… afin de récupérer vos coordonnées bancaires. « Quand vous recevez une tentative de phishing, vous savez généralement que c’est un faux parce que le scénario ne colle pas, que vous n’avez pas sollicité telle ou telle plateforme, que c’est mal fait », poursuit Gérôme Billois. Mais si le mail que vous recevez contient votre numéro de Sécurité sociale, le lieu où vous avez fait le test, vos coordonnées exactes… la supercherie est moins facilement détectable. D’où l’avertissement de grande prudence lancée par l’AP-HP aux victimes de ce vol de données.

Des escroqueries possibles

Autre risque, plus difficilement pernicieux encore : les usurpations d’identité qui permettent aux escrocs de monter des dossiers de crédit à votre nom ou de demander des prestations sociales sous une fausse identité. La victime ne s’en rend parfois compte que lorsque des organismes de recouvrement la contactent.

« Dans le cas de l’AP-HP, il y a une réaction rapide et les personnes concernées ont été prévenues mais ce n’est pas toujours le cas », précise Me Jérôme Déroulez, qui assure avoir été contacté par plusieurs victimes de cette récente attaque et réfléchir aux suites à donner à cette affaire. En parallèle, l’AP-HP et le ministère de la Santé ont porté plainte.