Newsletter #39 : Encore une arrestation 👮

Bonjour à tous,

En France, on a les meilleurs ingénieurs mais on ne sait pas vendre nos produits. Cette semaine, je vous raconte l'histoire d'un jeune homme de 22 ans qui a réussi à hacker l'un des plus gros groupements d'hôpitaux de France, mais qui n'avait pas bien réfléchi à sa stratégie de com.

🗞 Les News : Fuite de donnée de l'AP-HP, un suspect interpellé

C'était le grand évènement cyber il y a 3 semaines, l'AP-HP (Assistance Publique aux Hopitaux de Paris) subissait une énorme fuite de données lors d'une cyberattaque. Les données de tests Covid de 1,4 millions de personnes (principalement des Franciliens) s'étaient retrouvées dans la nature.

Ne vous inquiétez pas si vos données ont fuité, vous avez déjà été contacté par l'AP-HP pour vous donner la marche à suivre 😉

De quelles données parle-t-on ?

On retrouvait uniquement des données personnelles :

  • nom et prénoms
  • date de naissance
  • sexe
  • adresse postale, électronique ou numéro de téléphone
  • numéro de sécurité sociale

Et dans le lot, des données dites de santé :

  • les caractéristiques du test utilisé
  • et surtout, le résultat du test

Ces données de santé sont classées par le RGPD dans une catégorie à part des données personnelles : les données sensibles. Les sanctions liées à la perte, à l'extorsion et à l'utilisation illicite de ces données sont bien plus dures que pour les données personnelles dites classiques.

Un suspect interpellé

Le 5 octobre, 3 semaines après les révélations de fuite de données, le principal suspect a été interpellé dans le Var. Les enquêteurs ont pu l'identifier rapidement car le jeune homme de 22 ans avait communiqué ses exploits sur son compte Twitter. Il avait aussi partagé la base de données sur le forum du site jeuxvidéo.com (ce n'est pas la première fois que le site est utilisé à mauvais escient par des hackers pour partager leurs trouvailles).

Pas la meilleure stratégie, puisque Twitter et jeuxvidéo.com sont tenus de coopérer avec la justice et la police. Ils ont donc réussi à l'identifier puis le retrouver.

Les raisons de l'attaque semblent être idéologiques, le suspect se dit contre le Pass sanitaire et souhaite montrer le faible niveau de protection des institutions françaises et notamment du système de santé.

Difficile de déceler le vrai du faux, sachant que les données récupérées sont les données de tests qui n'ont pas de rapport direct avec le Pass sanitaire, et qu'au lieu d'informer l'AP-HP de la faille qu'il avait identifié, il a préféré partager les données de santé de plus d'un million de Français publiquement.

Que risque-t-il ?

L'intéressé risque gros puisque les chefs d'accusation se multiplient :

  • Accès et maintien frauduleux dans un système de traitement automatisé de données à caractère personnel mis en Å“uvre par l’État,
  • Extraction de données dans ce même système,
  • Collecte de données personnelles par un moyen frauduleux, déloyal ou illicite,
  • Divulgation illégale volontaire.

Les peines prévues par le Code pénal s'accumulent aussi, d'autant plus que l'attaque d'un établissement publique est un facteur aggravant, mauvaise nouvelle pour le suspect :

  • Accès et maintien des données : 5 ans de prison et 150 000 euros d'amende
  • Extraction, collecte et divulgation non autorisée de données personnelles : 7 ans de prison et 300 000 euros d'amende.
  • Collecte de données personnelles par des moyens illicites : 5 ans de prison et 300 000 euros d'amende.
  • Collecte de données dont la divulgation pourrait porter préjudice à la personne concernée par les données : 5 ans de prison et 300 000 euros d'amende.
  • Divulgation dont la divulgation pourrait porter préjudice à la personne concernée par les données : 3 ans de prison et 100 000 euros d'amende.

Si on cumule toutes les peines, on arrive à 25 ans de prison et près d'1 million d'euros d'amende. Il s'agit évidemment des plafonds et la peine réelle peut être bien plus faible puisque le non-cumul des peines est un des principes du droit pénal.

Tout ça pour dire que si vous voulez un jour prouver la faiblesse du système de sécurité informatique d'une entreprise ou d'une institution française, la méthode à suivre n'est pas celle de ce jeune pirate mais d'informer l'organisation en question de la faille. Elle sera ravie de prendre vos avis pour s'améliorer

C'est d'ailleurs mon cas aussi, je suis ravi de recevoir des Tips et feedback de certains d'entre vous sur la newsletter, alors n'hésitez pas.

🔮 Les Tips de la CNIL si vous faites partie de la fuite de donnée

Tout d'abord si vous en faites partie c'est que vous avez été contacté pas l'AP-HP, sinon pas de soucis. Cependant, un petit rappel ne fait jamais de mal. On repère deux principaux risques :

📩 Le risque de phishing : vos informations personnelles, dont votre adresse mail et votre numéro de téléphone, sont maintenant publics. Des hackers peuvent les récupérer pour vous contacter via des e-mails ou SMS frauduleux. Donc redoublez de vigilance en suivant ces 3 préceptes :

  • N’ouvrez surtout pas les pièces jointes.
  • Ne répondez pas au message.
  • Ne consultez pas les liens et supprimez le message immédiatement.

🤡 L’usurpation d’identité : comme pour le phishing les hackers ont maintenant vos nom, prénom, adresse, etc. Si vous pensez être victime d’une usurpation d'identité à la suite de la divulgation d’informations vous concernant, vous pouvez :

  • vous rendre sur le site cybermalveillance.gouv.fr pour obtenir des conseils pour vous prémunir d’usurpation ;
  • porter plainte au plus vite auprès d'un commissariat de police ou de gendarmerie.

Si l’usurpation est confirmée, demandez auprès des services de la CNIL une consultation du fichier des comptes bancaires (FICOBA) afin de savoir si des comptes ont été ouverts à votre nom par l’escroc.

Restez vigilant, n'ouvrez pas les e-mails inconnus, changez vos mots de passe régulière et tout ira bien !

À bientôt,

Louis des humains de Cyrius

Nous utilisons des cookies, comme décrit dans notre politique de confidentialité.

Cookie Settings

We use cookies to improve user experience. Choose what cookie categories you allow us to use. You can read more about our Cookie Policy by clicking on Cookie Policy below.

These cookies enable strictly necessary cookies for security, language support and verification of identity. These cookies can’t be disabled.

These cookies collect data to remember choices users make to improve and give a better user experience. Disabling can cause some parts of the site to not work properly.

These cookies help us to understand how visitors interact with our website, help us measure and analyze traffic to improve our service.

These cookies help us to better deliver marketing content and customized ads.