En ciblant des informations financières, les pirates du Web cherchent à cloner des cartes bancaires pour effectuer des transactions frauduleuses. Les victimes s’en rendent généralement rapidement compte et peuvent y mettre le holà, d’autant que la règlementation est ici extrêmement protectrice. Lorsque les cyberpirates tentent de capter des données d’identification personnelle comme le numéro de Sécurité Sociale, la date de naissance ou encore l’adresse, c’est bien souvent pour soutenir des opérations crapuleuses basées sur le vol d’identité – les tentatives d’escroquerie sont en effet toujours plus réalistes lorsqu’elles se basent sur des informations avérées. Il est déjà plus long et difficile, pour les malheureux qui en font les frais, de rétablir la situation. Les raisons derrière le vol de données médicales sont, elles, beaucoup plus protéiformes. Une chose est sûre toutefois : il est presque impossible de revenir en arrière. Gérôme Billois, expert en cybersécurité, l’a encore souligné en février dernier, dans un entretien accordé au journal 20Minutes : « C’est la pire fuite qui existe. […] C’est irréversible. Ça va être enregistré sur Internet, ça va être indexé sur les moteurs [de recherche, NDLR], il peut y avoir des conséquences à moyen, voire à long terme ».
Espionnage industriel, chantage, monétisation
Pour comprendre cet attrait des cyberpirates pour les données de santé, il faut se pencher sur leur valeur sur le marché noir. D’après un rapport publié en 2019 par le cabinet de cybersécurité Carbon Black, les informations personnelles de santé « peuvent valoir jusqu’à trois fois plus que les informations d’identification personnelle standard, en raison de leur immuabilité ». C’est que leurs domaines d’applications peuvent être beaucoup plus stratégiques que celles des simples tentatives d’escroquerie. Une enquête publiée par le Figaro en 2015 – une année marquée par de nombreuses attaques contre les systèmes d’information hospitaliers – a ainsi évoqué l’espionnage industriel, c’est-à-dire la revente, à des structures concurrentes, des données relatives à la recherche et aux avancées médicales. Mais aussi le chantage, soit la restitution des dossiers médicaux volés moyennant rançon, voire leur utilisation comme méthode d’extorsion de fonds contre des individus ayant des problèmes de santé. Ou encore la monétisation des informations sanitaires auprès de ceux qui pourraient y trouver un intérêt, un assureur peu regardant qui pourrait ainsi ajuster ses tarifs, un laboratoire pharmaceutique qui s’en servirait pour orienter la vente de médicaments sur un territoire donné en fonction des problématiques propres à sa population, ou même une agence de renseignement.
Une multitude d’applications toujours plus lucratives
Et ce n’est que le sommet de l’iceberg. Examinant les offres du Dark Web relatives aux données volées auprès des établissements de santé, Carbon Black est formel. La plus chère sur le marché noir concernait, en 2019, les « documents administratifs qui permettent de prouver l’identité d’un faux médecin ». Ceux-ci se négociaient alors autour de 500 dollars américains et étaient d’autant plus lucratifs qu’ils peuvent être revendus plusieurs fois. C’est que l’acheteur y trouve largement son compte, en les utilisant par exemple « pour soumettre des demandes de remboursement pour des interventions chirurgicales haut de gamme ». D’autres documents peuvent également être forgés, comme les ordonnances afin de soutenir, entre autres, le trafic de médicaments. Il est toutefois impossible de détailler toutes les modalités d’utilisation offertes par des données médicales volées, tant les pirates – et ceux qu’ils fournissent – font ici preuve d’une imagination débordante. Mais il peut aussi arriver que les choses ne se passent pas tout à fait comme prévu. Début 2021, des données subtilisées à une trentaine de laboratoires de biologie médicale en France se sont retrouvées sur pas moins de sept sites différents. Cette mise à disposition gratuite, qui les a donc aussitôt démonétisées, en a interloqué plus d’un. D’après plusieurs experts, elle serait due à une dispute entre cybercriminels. Une raison qui aurait pu faire sourire… ne seraient les conséquences potentiellement sérieuses pour toutes les personnes concernées. La morale de l’histoire ? Comme l’a souligné Carbon Black, « dans les soins de santé, la prévention est le meilleur remède. Cela vaut tant pour la santé physique que pour la santé numérique. La santé numérique – et souvent physique – d’une personne peut être directement liée à la posture de cybersécurité de ses prestataires de soins de santé ». Un rappel salutaire.
Face aux cyberpirates, les hackers éthiques existent aussi
« L’idée des hackers éthiques, c’est de trouver des failles dans des systèmes divers et variés, que ce soient des sites Internet, des applications mobiles, et de prévenir les sociétés ou les gouvernements concernés qu’ils ont une faille pour les aider à réparer », expliquait début avril Baptiste Robert, chercheur en cybersécurité, dans un entretien accordé à France Bleu. Au printemps 2020, alors que les établissements de santé faisaient à la fois face à la première vague épidémique et aux attaques des cyberpirates, le groupe Web « CyberVolonteers 19 » a ainsi réuni plusieurs centaines de volontaires qui se sont relayés pour les aider à se protéger contre les pirates informatiques. Citons également le site « Covid-19 Cyber Threat Coalition », créé dès le mois de mars 2020, ou encore la plateforme « YesWeHack » qui, depuis 2013, met en contact entreprises cherchant à muscler leur cybersécurité et hackers éthiques.
« L’idée des hackers éthiques, c’est de trouver des failles dans des systèmes divers et variés, que ce soient des sites Internet, des applications mobiles, et de prévenir les sociétés ou les gouvernements concernés qu’ils ont une faille pour les aider à réparer », expliquait début avril Baptiste Robert, chercheur en cybersécurité, dans un entretien accordé à France Bleu. Au printemps 2020, alors que les établissements de santé faisaient à la fois face à la première vague épidémique et aux attaques des cyberpirates, le groupe Web « CyberVolonteers 19 » a ainsi réuni plusieurs centaines de volontaires qui se sont relayés pour les aider à se protéger contre les pirates informatiques. Citons également le site « Covid-19 Cyber Threat Coalition », créé dès le mois de mars 2020, ou encore la plateforme « YesWeHack » qui, depuis 2013, met en contact entreprises cherchant à muscler leur cybersécurité et hackers éthiques.