Fuite de données médicales : "Les pirates informatiques ont entre les mains des informations qui peuvent leur permettre de mettre en place de nouvelles arnaques"

"Les pirates informatiques ont entre les mains des informations qui peuvent leur permettre de mettre en place de nouvelles arnaques", a prévenu mercredi 24 février sur franceinfo Damien Bancal, journaliste spécialiste de la cybersécurité. "Tout pour un pirate est une donnée qui peut être utilisée, achetée et vendue", a-t-il expliqué concernant la fuite sur internet des données médicales de près de 500 000 personnes en France. Damien Bancal est le premier à l'avoir repérée et identifiée, mi-février, sur son blog Zataz et, selon lui, rien ne prouve que le fichier en question n'est pas juste "un échantillon" des informations volées.

franceinfo : On parle de données personnelles confidentielles y compris des pathologies, c'est grave ?

Damien Bancal : C'est dramatique. Les pirates informatiques, quels qu'ils soient, ont entre les mains des informations qui peuvent leur permettre de mettre en place de nouvelles arnaques. Par exemple, un pirate peut vous envoyer un courrier en vous expliquant que vous avez une pathologie qui vous permet d'avoir le vaccin contre la Covid-19 plus rapidement que tout le monde. Il va alors vous inviter à cliquer soit sur une pièce jointe, soit sur un site internet piégé. Voilà quelles peuvent être les cyberattaques à partir de ce type de données sans oublier l'usurpation d'identité et toutes les autres possibilités malveillantes.

Dans ces fichiers, il y a également des mots de passe qui pourraient être récupérés par des cybercriminels ?

Des mots de passe, des numéros de téléphone portable, des adresses électroniques... Il faut savoir qu'aujourd'hui, tout, pour un pirate est une donnée qui peut être utilisée, achetée et vendue. Je prends tout le temps l'exemple de notre portefeuille : enlevez la carte bancaire, enlevez le billet que vous avez peut-être dedans, et toutes les autres informations qu'il y a dans votre portefeuille, les pirates vont les regarder, les copier, les utiliser et tenter de les revendre.

Là, on parle de données qui concernent près d'un demi-million de Français. Est-ce l'intégralité des fichiers piratés et comment ces données ont-elles été volées ?

Malheureusement, on n'en sait rien. Les pirates font aussi des échantillons. Cela pourrait être un échantillon que le premier primo accédant a tenté de vendre, en disant : si tu en veux plus, tu paieras plus. Concernant l'origine des données, il y a tellement de possibilités. Cela peut être interne, une erreur, une clé USB qui traîne dans un coin. Ça peut être dans une poubelle, car oui on trouve de temps en temps, malheureusement trop souvent, des informations dans des poubelles. Cela peut être des fuites internet, une faille, une porte ouverte parce que non corrigée, un courrier piégé. Malheureusement, un pirate c'est un couteau suisse. Chaque lame est une possibilité malveillante et ils vont toutes les utiliser.

Quels conseils donnez-vous aux auditeurs ?

Il faut toujours vérifier à qui on fournit ses informations, à qui je donne mon adresse mail, à qui je donne mon information de santé. Et puis, c'est très compliqué à mettre en place, mais il va falloir réfléchir à une adresse mail par secteur que je visite. Par exemple, un mail ouvert pour l'école des enfants et un pour l'administratif. C'est très compliqué à mettre en place et, je vais être très honnête avec vous, personne aujourd'hui n'est éduqué à prendre et à perdre du temps à créer sa propre identité numérique. On aura beau mettre les plus beaux murs du monde, si entre le clavier et la chaise, on n'a pas d'éducation, on n'a pas de formation et on n'a pas d'écoute, les pirates passeront toujours.