Une violation de données dans un hôpital français anonyme a révélé les dossiers médicaux de 750 000 patients après qu’un acteur menaçant a eu accès à son système de dossiers médicaux électroniques.
Un acteur menaçant utilisant le surnom de » nears « (anciennement near2tlg) a affirmé avoir attaqué plusieurs établissements de santé en France, alléguant qu’ils avaient accès aux dossiers des patients de plus de 1 500 000 personnes.
Le pirate affirme avoir violé MediBoard par Software Medical Group, une société proposant des solutions de Dossiers médicaux électroniques (EPR) à travers l’Europe.
Softway Medical Group a confirmé que des pirates informatiques avaient compromis un compte MediBoard. Cependant, il a noté que cela n’était pas le résultat d’une vulnérabilité logicielle ou d’une mauvaise configuration de leur part, mais plutôt de l’utilisation d’identifiants volés utilisés par l’hôpital.
Dans une lettre envoyée aux médias français et partagée avec Breachtrace par le rédacteur en chef de LeMagIT, Valéry Rieß-Marchive, Softway Medical Group affirme que les données exposées n’étaient pas directement gérées par eux, mais plutôt hébergées par l’hôpital.
« Le 19 novembre 2024, une cyberattaque a été détectée dans un établissement de santé à l’aide du logiciel Mediboard », peut-on lire dans l’e-mail traduit automatiquement.
« Nous tenons à souligner que les données de santé affectées n’étaient pas hébergées par Softway Medical Group. »
Breachtrace a contacté Softway Medical Group pour obtenir des éclaircissements sur quel compte et à quel niveau a été compromis, et un porte-parole a partagé la déclaration suivante:
« Nous pouvons confirmer que notre logiciel n’est pas responsable, mais plutôt qu’un compte privilégié au sein de l’infrastructure du client a été compromis par un individu qui a exploité les fonctions standard de la solution », a déclaré le groupe médical Softway à Breachtrace .
« Cette hypothèse a été étayée. Ce n’est donc ni dû à une mauvaise implémentation du logiciel ni à une erreur humaine. »
Vendre l’accès aux hôpitaux
Tout cela s’est déroulé après que l’acteur de la menace a commencé à vendre ce qu’il prétendait être l’accès à la plateforme MediBoard pour plusieurs hôpitaux français, dont le Centre Luxembourg, la Clinique Alleray-Labrouste, la Clinique Jean d’Arc, la Clinique Saint-Isabelle et l’Hôpital Privé de Thiais.
Cet accès aurait permis à l’acheteur de consulter les informations sensibles sur les soins de santé et la facturation des hôpitaux, les dossiers des patients et la possibilité de planifier et de modifier des rendez-vous ou des dossiers médicaux.
Pour prouver qu’ils ont eu accès aux comptes MediBoard, le pirate a également mis en vente les dossiers de 758 912 patients d’un hôpital français anonyme.
Ces dossiers contiendraient les informations suivantes:
- Nom complet
- Date de naissance
- Sexe
- Adresse du domicile
- Numéro de téléphone
- Adresse e-mail
- Médecin
- Prescriptions
- Historique des soins de santé
Les données ont été proposées à l’achat à trois utilisateurs, et actuellement, aucun acheteur n’a été déclaré sur la liste de vente.
Même si les données ne sont pas vendues, il y a toujours un risque de fuite en ligne gratuitement, ce qui les met à la disposition de la communauté de la cybercriminalité au sens large.
Le type de données exposées dans cet incident augmente le risque d’hameçonnage, d’escroquerie et d’ingénierie sociale pour les personnes touchées.
Mise à jour du 21/11: Breachtrace a appris que tous les hôpitaux touchés appartiennent à une seule entité, Aléo Santé, ce qui explique comment l’acteur de la menace a eu accès à tous en compromettant un compte MediBoard privilégié qui n’est pas sous le contrôle direct de Softway.