Le dévoilement de données aussi sensibles peut avoir des conséquences dramatiques. | Anthony Tran via Unsplash
Le dévoilement de données aussi sensibles peut avoir des conséquences dramatiques. | Anthony Tran via Unsplash

Des milliers de patients en psychiatrie victimes de chantage après un hack

Une clinique finlandaise s'est fait dérober tous ses dossiers.

La nouvelle est passée relativement inaperçue en France, mais le 26 octobre, une attaque informatique aux conséquences graves a secoué la Finlande. Un pirate est parvenu à entrer dans le système de Vastaamo, une clinique de psychothérapie, et à obtenir le données privées de plus de 36.000 patients.

Bien que Vastaamo soit une clinique privée, elle dispose de vingt-cinq centres de psychothérapie dans le pays et sous-traite une bonne partie du système public finlandais de santé mentale.

Cette attaque informatique est impressionnante de par son ampleur, mais ce n'est pas la première fois qu'un établissement de santé en est victime, loin s'en faut. C'est plutôt le mode opératoire qui inquiète.

Car non seulement le ou les hackers ont exigé une rançon de 40 bitcoins [environ 585.000 euros] auprès de Vastaamo, mais ils se sont aussi attaqués de manière individuelle aux patients.

Des dizaines de personnes ont ainsi directement reçu des menaces de la part d'un individu se cachant sous le pseudo RANSOM_MAN: il leur fallait payer 200 euros en bitcoin sous vingt-quatre heures, sans quoi leurs informations privées allaient être publiées sur le net.

Les informations concernant plus de 300 patients ont ainsi atterri sur un forum du dark web, avant qu'il ne soit supprimé. Noms, numéros de sécurité sociale mais aussi diagnostics et notes des psychiatres: tout y était.

Victimes déjà fragiles

L'acte est d'autant plus cruel qu'il touche des personnes particulièrement fragiles. Jukka-Pekka Puro, un patient interviewé par Wired, était déjà dépressif lorsqu'il a appris qu'un cancer du rein ne lui laissait plus que quelques années à vivre, ce qu'il l'a mené à consulter chez Vastaamo.

«Que quelqu'un connaisse mes émotions et puisse lire mon dossier est déjà désagréable, mais cela affecte aussi ma femme et mes enfants. Quelqu'un sait, par exemple, comment ils ont réagi à mon cancer. Et même s'il ne me reste plus longtemps à vivre, que se passe-t-il si on usurpe mon identité grâce à ces données?»

Cette situation cauchemardesque a secoué la Finlande et met en lumière les dommages considérables que peuvent causer des données médicales mal protégées.

Le ou les hackers ont vraisemblablement profité d'une faille dans le système en novembre 2018, et Vastaamo ainsi que la firme de cybersécurité Tapio sont soupçonnées d'avoir été au courant dès mars 2019.

Cette affaire montre aussi que le Règlement général sur la protection des données (RGPD) peut s'appliquer à des cas comme celui-ci. Son article 34 oblige à informer les personnes concernées que leurs données ont été violées, ce à quoi Vastaamo est accusée d'avoir manqué. L'enquête est toujours en cours.

En ce moment

Le bonus payant de Pfizer, le donnant-donnant d'Amazon, un ami à louer, une journée sur korii.

Et Cætera

Le bonus payant de Pfizer, le donnant-donnant d'Amazon, un ami à louer, une journée sur korii.

Ce qu'il fallait lire aujourd'hui.

Pfizer fera payer la sixième dose bonus de son vaccin

Biz

Pfizer fera payer la sixième dose bonus de son vaccin

Ce sont 20% d'injections qui s'envolent, ou qu'il faudra acheter.

Comment prendre soin à distance de ses parents âgés

Tech

Comment prendre soin à distance de ses parents âgés

Les nouvelles technologies peuvent aider les seniors à entretenir leur forme mentale et physique.