De plus en plus de vols de données médicales sont à déplorer, et les cyber-attaques dans ce secteur se multiplient. Cela s’explique : ces données ont beaucoup plus de valeur que des données « classiques ». Escroquerie à l’assurance maladie, chantage : les méthodes sont variées, mais les gains toujours élevés.
Les scandales de vols de données médicales ont tendance à se multiplier avec le temps. On se souvient de l’affaire de SingHealth, l’établissement de santé de Singapour, qui s’était fait dérober les informations détaillées de 1,5 millions de patients. Incluant le premier ministre ! Un piratage d’ampleur auprès du fournisseur de facturation d’Atrium Health a compromis les données médicales de 2,65 millions de personnes. Début juin 2019, à New York, les informations contenues dans les serveurs d’une agence de service à la personne ont été dérobées.
Les données médicales vendues trois fois plus chers que les données « classiques »
Et si ces vols augmentent, c’est que le butin se monnaie très cher sur le dark web. Les données médicales sont vendues, en moyenne, trois fois plus cher que des données « classiques » (nom, prénom, mail, adresse, téléphone, etc.). Ces dernières peuvent permettre des campagnes de phishing, des usurpations d’identité et autres escroqueries. Leur compromission est toujours problématique, comme récemment au Panama.
Mais l’impact des données médicales est bien plus grand. C’est ce que révèle un rapport de Carbon Black, publié le 5 juin 2019, analysant les offres actuelles sur le dark web concernant ce type des données. Elles comprennent, entre autre, les problèmes de santé passés et présents, les ordonnances de pharmacie, les dossiers d’hôpital, les détails sur les assurances et les informations d’identification d’un compte médical en ligne.
Se faire passer pour un médecin, et escroquer l’assurance maladie
Les données qui se monnaient le plus cher sont celles qui permettent à un hacker de se faire passer pour un médecin, et demander des remboursement d’actes médicaux (notamment chirurgicaux) qu’il n’a jamais effectué. Il en coûtera environ 500 dollars pour se faire passer pour un professionnel de santé.
« Un pirate informatique compromet le réseau d’entreprise d’un fournisseur de soins de santé pour lui permettre de trouver des documents administratifs qui permettent de prouver l’identité d’un faux médecin. Le pirate informatique vendra ensuite à un acheteur ou à un intermédiaire à un prix suffisamment élevé pour garantir un retour sur investissement. Le prix doit néanmoins rester suffisamment faible pour permettre à plusieurs personnes d’acheter l’article. L’acheteur utilise ensuite l’identité volée et soumet à un fournisseur d’assurance médicale ses demandes de remboursement pour des interventions chirurgicales haut de gamme » détaille le rapport.
Faux remboursements, ou véritable extorsion de fonds
Concernant les particuliers, les compromissions de données médicales peuvent permettre aux pirates de faire de fausses demandes aux frais de la victime, notamment aux assurances maladie. Elles peuvent aussi être utilisées en complément de données sur un faux médecin, afin de simuler des patients.
Autre utilisation possible : le chantage. « Les données de santé piratées peuvent être utilisées par les États-nations contre des individus qui ont des problèmes de santé comme méthode d’extorsion de fonds ou de compromis », précise Carbon Black.
Des attaques de plus en plus sophistiquées
Le rapport évoque également les tentatives de hacking dont sont victimes les organismes gérant des données liées à la santé. 66% d’entre eux ont ainsi affirmé que les cyberattaques sont devenues plus sophistiquées au cours de l’année écoulée.
45% des entreprises ont également déclaré avoir été victimes d’attaques centrées sur la destruction d’informations au cours des 12 derniers mois. On retrouve là soit des classiques ransonware (prendre le contrôle d’un ordinateur ou d’un serveur, bloquer l’accès aux données, et demander une rançon pour restituer les données), soit de pures attaques de type terroriste, qui visent simplement à créer le chaos dans un organisme ou une base de données.
Le fait est que ces compromissions peuvent avoir des conséquences très graves sur la vie de personnes à la santé fragile. Des hackers apprenant leurs faiblesses peuvent s’en servir contre elles. In fine, la santé numérique peut ainsi impacter, gravement, la santé physique. Plus que jamais, la vigilance est donc de mise.