Le collectif near2tlg s’est infiltré dans un logiciel de gestion médicale après avoir compromis un compte à privilèges. Il aurait dérobé les données de plus de 750 000 patients, dont certaines très sensibles. Le collectif revendique également d’autres attaques visant des établissements de santé en France et au Luxembourg.
Encore une fuite de données dans le secteur de la santé. Les informations de 750 000 patients d’un établissement parisien ont été volées puis mises en vente après une intrusion via Mediboard, un logiciel de gestion hospitalière open source. Les données dérobées incluent des informations personnelles telles que le nom, le prénom, la date de naissance, l’adresse et le numéro de téléphone, ainsi que, dans certains cas, des données sensibles comme les allergies, les médecins traitants, les prescriptions ou encore les déclarations de décès.
Un accès via un compte à privilèges
L’éditeur du logiciel, Softway Medical, a précisé dans un communiqué que « les données compromises n’étaient pas hébergées par le Groupe Softway Medical ». L’exfiltration des informations a été rendue possible grâce à une usurpation d’identité sur un compte à privilèges.
À l’origine de cette attaque, le collectif near2tlg, qui exige une rançon de 5 000 dollars, payable en cryptomonnaie (Monero). Le groupe affirme également détenir un « contrôle exclusif » sur plusieurs établissements de santé, parmi lesquels le Centre Luxembourg, la Clinique Alleray-Labrouste, la Clinique Jean d’Arc, la Clinique Saint-Isabelle et l’Hôpital Privé de Thiais. Au total, 1,5 million de patients seraient affectés.
Des cyberattaques aux conséquences graves
L’auteur présumé de cette attaque affirme avoir un accès complet, notamment pour rechercher des dossiers patients, gérer les rendez-vous et les plannings, superviser les stocks de médicaments, accéder à la facturation, ou encore créer et modifier des dossiers médicaux. Les impacts peuvent donc s’avérer catastrophiques pour les patients comme pour le personnel médical.
Pour prouver leurs méfaits, les hackers ont partagé des échantillons de données. Cependant, ces éléments ne permettent pas encore de confirmer ou d’infirmer l’ampleur exacte des fuites.
Le collectif near2tlg est particulièrement actif ces derniers mois. Il est également à l’origine d’autres violations de données, comme celles de SFR début septembre ou de Direct Assurance, cette dernière ayant été confirmée par l’entreprise auprès de nos confrères de Next.
Un secteur de la santé vulnérable
Souvent dotés de systèmes informatiques vulnérables, les établissements de santé sont régulièrement frappés par des cyberattaques. Ces dernières années, plusieurs hôpitaux français en ont fait les frais, comme le CHU de Rennes en juin 2023 donc, mais aussi celui de Brest en mars de la même année, l'hôpital de Versailles en décembre 2022, le Centre hospitalier Sud Francilien (CHSF) en août, mais aussi les hôpitaux de Cahors ou de Corbeil-Essonnes pour ne citer qu’eux. Et les conséquences de ces attaques sont parfois désastreuses. En octobre par exemple, Proofpoint a mis en évidence, dans son rapport Cyber Insecurity in Healthcare, une augmentation du taux de mortalité des patients dans les établissements de santé confrontés à des incidents de cybersécurité.