Piratage de données de santé : Mais en fait, où vont nos données après une cyberattaque ?

EDIT DU 14 MARS 2024 : France Travail a annoncé mercredi 13 mars avoir été la cible d’une cyberattaque, avec un « risque de divulgation » de données personnelles touchant « potentiellement » 43 millions de personnes. A cette occasion, nous remontons cet article pour vous expliquer ce qu’est une cyberattaque.

Ce n’est pas la première cyberattaque massive en France, ni la dernière sans doute. Ce mercredi, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé que plus de 33 millions de personnes avaient été touchées par un piratage visant les opérateurs Viamedis et Almerys, des prestataires spécialisés dans la gestion du tiers payant pour des complémentaires santé. « Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de Sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit », a affirmé l’organisme dans un communiqué, assurant que certaines données sensibles, elles, n’étaient pas concernées. C’est le cas des informations bancaires, des données médicales, des remboursements santé, des coordonnées postales, des numéros de téléphone ou encore des courriels.

Si la CNIL assure ne pas être en mesure d’indiquer individuellement qui est touché, il est important de se demander où vont nos données après une attaque. Sont-elles toutes destinées au Dark Web ? Oui, tranche Maître Hélène Lebon, avocate spécialisée en droit de la protection des données personnelles et en cybersécurité. Si vous aviez toujours un espoir de voir une donnée abandonnée, passez votre chemin. « Il y a toujours quelque chose à en faire. Le Dark Web suit une logique capitaliste », rappelle l’avocate. « Il y a de quoi être inquiet », renchérit Yosra Jarraya, experte en protection des données. « Pourquoi ? Du fait du volume énorme des données et par plusieurs prestataires ».

Toutefois, sur le Dark Web, toutes les valeurs ne se valent pas. Selon Maître Brigitte Lebon, le nom et prénom ainsi que l’adresse restent des données peu monnayables. « Toutes ces données doivent déjà se trouver sur le Dark Web », compare l’avocate. Au contraire, des informations comme la composition familiale ou la capacité financière s’achètent davantage. « Environ 150 euros, selon des études américaines ». Pour avoir un ordre d’idée, le Dark Web Price Index répertorie chaque année le prix de vente moyen des données. En 2023, les identifiants d’un compte Instagram se revendaient 25 dollars, contre 60 dollars pour un compte Gmail.

Le risque de phishing et d’usurpation d’identité

Mais il existerait également un autre avenir pour les données fuitées. Dans le cas des prestataires de mutuelles de santé, ce sont les tentatives de phishing, résume Maître Clémence Marolla, avocate spécialisée dans les nouvelles technologiques au cabinet Blast avocates. « Par exemple, vous allez recevoir un faux e-mail au logo de votre mutuelle, avec votre nom, vos identifiants… tout pour vous mettre en confiance. Et dans cet e-mail, on va vous annoncer qu’ils doivent vous rembourser un montant de 150 euros mais que pour cela, il faut cliquer sur un lien et saisir votre numéro de carte bancaire ». Banco, vous cliquez et la tentative de phishing est un succès.

Seulement, les données ne sont pas revendues qu’une fois. D’abord car elles peuvent être copiées collées à l’infini, résume Yosra Jarraya. Mais pas seulement. « Cette faille implique également le numéro de Sécurité sociale. Comme c’est un numéro unique qu’on ne peut jamais renouveler, il y a également un risque d’usurpation d’identité », explique Maître Clémence Marolla. Ces données peuvent ensuite être rachetées pour des opérations bancaires ou dans des environnements professionnels, par exemple.

Que faire en cas d’attaque ?

Une fuite de données n’est jamais l’histoire d’un jour. Lorsque l’attaque survient, les acteurs malveillants peuvent frapper depuis bien longtemps. « En général, quand on voit une cyberattaque, elle ne vient pas d’avoir lieu. On ne sait pas depuis quand ils sont là, ni depuis combien de temps, ou si c’est un acte volontaire », précise Yosra Jarraya. Puis, après l’annonce de l’attaque, l’enquête peut parfois être longue. « Ce que l’on sait de l’attaque deux jours après et six mois après, ça n’a généralement rien à voir », résume l’avocate Brigitte Lebon. Et la spécialiste d’ajouter : « Si demain, vous vous faites attaquer, on aura quasiment aucun moyen de savoir si c’est à cause de cette attaque-là ou d’une qui s’est passée il y a dix jours ou il y a dix ans ».

Alors que faire pour éviter d’être un dommage collatéral de cette cyberattaque ? « Etre prudent sur les sollicitations que vous pourrez recevoir, en particulier s’ils concernent des remboursements de frais de santé et vérifier périodiquement les activités et mouvements sur vos différents comptes », conseille le site de la Cnil.