« Je condamne avec la plus grande fermeté la divulgation inqualifiable de données piratées issues du centre hospitalier de Corbeil-Essonnes » a déclaré le ministre de la Santé François Braun.
« Nous ne céderons pas face à ces criminels. L'ensemble des services de l'État sont mobilisés » au côté de l'hôpital, a-t-il ajouté.
Selon les informations fournies dimanche par l'hôpital, les informations divulguées par les pirates via le « dark web » (les sites internet non référencés par les navigateurs classiques) « semblent concerner nos usagers, notre personnel ainsi que nos partenaires ». Parmi elles figurent « certaines données administratives », dont le numéro de sécurité sociale, et « certaines données santé telles que des comptes-rendus d'examen et en particulier des dossiers externes d'anatomocytopathologie, de radiologie, laboratoires d'analyse, médecins », a poursuivi le centre hospitalier.
« L'attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l'espace de stockage du CHSF (environ 10%) », ajoute-t-il.
C'est le blog de cybersécurité Zataz.com, qui avait donné l'alerte, affirmant qu'une première diffusion de données avait été orchestrée sous la forme d'un fichier compacté de 11,7 gigaoctet. Selon Damien Bancal, l'auteur du blog qui a pu consulter le fichier, celui-ci contient des documents aussi variés que des examens médicaux, des recours à la couverture médicale universelle (CMU), et une autorisation d'internement d'office en service psychiatrique. « Néanmoins, à ce stade de l'analyse des éléments en la possession des services enquêteurs, il n'est pas possible » d'accéder facilement aux données, a précisé à l'AFP le parquet de Paris. « Seuls les initiés peuvent accéder aux données » a confirmé M. Bancal à l'AFP.
De nouvelles attaques ciblées possibles
Une enquête a été ouverte par le parquet de Paris et confiée aux gendarmes du Centre de lutte contre les criminalités numériques (C3N). Le risque est désormais que des escrocs utilisent les données accessibles pour monter de nouvelles attaques ciblées, en utilisant les informations personnelles à leur disposition pour capter la confiance de la victime. Selon l'entourage du ministre de la Santé François Braun, l'hopital « est pleinement mobilisé pour informer individuellement les patients ainsi que les membres de son personnel concerné ». « L'établissement veille également à ce qu'ils fassent preuve de la plus grande vigilance face aux tentatives d'escroquerie qui pourraient intervenir dans les prochains mois », a-t-on ajouté de même source.
Dans son communiqué de presse, l'hôpital de Corbeil-Essonnes a rappelé les principales mesures de sécurité à suivre. En cas de réception d'un email, SMS, ou appel téléphonique demandant telle ou telle action, il faut « vérifier que l'expéditeur est bien légitime et en lien avec le sujet » et « ne jamais fournir d'informations confidentielles (bancaires, mots de passe...) ».
Il faut « être vigilant si le ton du message est pressant, qu'il vous pousse à l'action, d'autant plus si vous n'attendiez pas ce message », a également indiqué l'hôpital.
Celui-ci recommande aussi de « vérifier les comptes associés » à un numéro de Sécurité sociale et d'en changer les mots de passe « au moindre doute ».
Selon Zataz, les hackers avaient fixé un ultimatum au 23 septembre à l'hôpital pour payer la rançon.
