Cyberattaques : que deviennent nos données quand elles sont volées ?

Le centre hospitalier de Corbeil-Essonne (Essonne) en août 2022, l'hôpital André-Mignot du centre hospitalier de Versailles (Yvelines) et le CHU de Rennes ont un point commun : ces trois établissements ont tous été victimes d'une cyberattaque.

>>La Fédération française de rugby victime d'une cyberattaque

A Rennes "la cyberattaque a entraîné une exfiltration de données et les analyses sont en cours pour qualifier la quantité et le type de données concernés", explique l'établissement dans un communiqué jeudi 22 juin.

Des données médicales revendues quelques dollars

"Ces pirates informatiques vont menacer leurs victimes et si jamais ils ne touchent pas l'argent réclamé, ils vont diffuser les données volées, soit gratuitement dans des blogs sur des espaces dans le dark web ou alors ils vont les revendre", explique Damien Bancal, spécialiste en cybersécurité, auteur du blog Zataz.com.

Ces acheteurs peuvent être "n'importe qui, des professionnels de la malveillance par exemple", ajoute le spécialiste en cybersécurité. "On a un exemple très concret d'un centre hospitalier dans l'Est de la France qui a été infiltré en 2022, illustre Damien Bancal. "Des données ont été exfiltrées et aujourd'hui, vous les retrouvez sur des moteurs de recherche - boutiques créés par des pirates informatiques dans lesquel vous tapez un nom et l'intégralité des dossiers de santé va ressortir. Pour les récupérer, il suffit de payer quelques dollars", décrypte l'expert.

"Ils ont dans leur tête du business, il n'y a rien de personnel et les conséquences sont pourtant dramatiques."

Damien Bancal, spécialiste en cybersécurité

à franceinfo

Les pirates informatiques ciblent aussi leurs acheteurs. "Certains ne s'intéressent qu'au fishing, qu'à l'hameçonnage par exemple, détaille l'expert en cybersécurité. Avec les données volées, date de naissance, nom, prénom, numéro de téléphone portable, adresse e-mail, ils peuvent se faire passer pour les impôts, pour l'assurance maladie. Un autre peut envoyer des textos comme pour le CPF par exemple, souscrire à des crédits en reconstituant les documents avec de ces données-là."

Le "marketing de la malveillance"

"Il y a une urgence pour les pirates à monétiser rapidement ces données", ajoute Thierry Karsenti, spécialiste en cybersécurité et vice-président technique de Palo Alto Networks. "Ils les cryptent, demandent ensuite une rançon, comme ce que l'on a vu à Corbeil-Essonne, complète l'expert en cybersécurité. Ils ont même passé un cap, parce que les établissements ne paient plus les rançons, alors pour mieux négocier ils copient ces données et mettent une pression sur les hôpitaux en menaçant de tout diffuser."

"Sur internet, la donnée vaut de l'or."

Thierry Karsenti, spécialiste en cybersécurité

à franceinfo

Les pirates informatiques dispose également d'un autre levier : diffuser les données gratuitement sur internet, sur des forums par exemple. "C'est du marketing de la malveillance : ils s'inspirent des enseignements du traité de stratégie militaire chinois l'Art de la Guerre : 'J'ai 100 soldats, je vais en tuer un et les 99 restants vont m'obéir'. Ils font exactement pareil avec les entreprises", renchérit Damien Bancal.

"Parmi nos ennemis involontaires, on a les moteurs de recherche qui peuvent les collecter, et les mettre dans des endroits que les algorithmes potentiels peuvent retrouver dans quatre, cinq ans. Il suffit de taper un nom et un prénom et les moteurs de recherche peuvent les recracher comme cela...", conclut-il. En 2022, l'Agence nationale de la sécurité des systèmes d’information a relevé 831 intrusions informatiques avérées contre les hôpitaux français contre 1 082 en 2021.