La nouvelle est passée relativement inaperçue en France, mais le 26 octobre, une attaque informatique aux conséquences graves a secoué la Finlande. Un pirate est parvenu à entrer dans le système de Vastaamo, une clinique de psychothérapie, et à obtenir le données privées de plus de 36.000 patients.
Bien que Vastaamo soit une clinique privée, elle dispose de vingt-cinq centres de psychothérapie dans le pays et sous-traite une bonne partie du système public finlandais de santé mentale.
Cette attaque informatique est impressionnante de par son ampleur, mais ce n'est pas la première fois qu'un établissement de santé en est victime, loin s'en faut. C'est plutôt le mode opératoire qui inquiète.
Car non seulement le ou les hackers ont exigé une rançon de 40 bitcoins [environ 585.000 euros] auprès de Vastaamo, mais ils se sont aussi attaqués de manière individuelle aux patients.
Des dizaines de personnes ont ainsi directement reçu des menaces de la part d'un individu se cachant sous le pseudo RANSOM_MAN: il leur fallait payer 200 euros en bitcoin sous vingt-quatre heures, sans quoi leurs informations privées allaient être publiées sur le net.
Les informations concernant plus de 300 patients ont ainsi atterri sur un forum du dark web, avant qu'il ne soit supprimé. Noms, numéros de sécurité sociale mais aussi diagnostics et notes des psychiatres: tout y était.
Victimes déjà fragiles
L'acte est d'autant plus cruel qu'il touche des personnes particulièrement fragiles. Jukka-Pekka Puro, un patient interviewé par Wired, était déjà dépressif lorsqu'il a appris qu'un cancer du rein ne lui laissait plus que quelques années à vivre, ce qu'il l'a mené à consulter chez Vastaamo.
«Que quelqu'un connaisse mes émotions et puisse lire mon dossier est déjà désagréable, mais cela affecte aussi ma femme et mes enfants. Quelqu'un sait, par exemple, comment ils ont réagi à mon cancer. Et même s'il ne me reste plus longtemps à vivre, que se passe-t-il si on usurpe mon identité grâce à ces données?»
Cette situation cauchemardesque a secoué la Finlande et met en lumière les dommages considérables que peuvent causer des données médicales mal protégées.
Le ou les hackers ont vraisemblablement profité d'une faille dans le système en novembre 2018, et Vastaamo ainsi que la firme de cybersécurité Tapio sont soupçonnées d'avoir été au courant dès mars 2019.
Cette affaire montre aussi que le Règlement général sur la protection des données (RGPD) peut s'appliquer à des cas comme celui-ci. Son article 34 oblige à informer les personnes concernées que leurs données ont été violées, ce à quoi Vastaamo est accusée d'avoir manqué. L'enquête est toujours en cours.
