Le 15 septembre, l'assistance publique hôpitaux de Paris (AP-HP), le CHU d'Île-de France, faisait état d'un important incident de sécurité informatique. Des pirates ont réussi à se procurer les données issues des tests Covid d'1,4 million de Franciliens, effectués au cours de l'été 2020. Avec, pour chaque victime, une liste longue comme le bras de données compromettantes : numéro de sécurité sociale, nom, prénom, date de naissance, sexe, numéro de téléphone, adresse email, adresse postale ou encore le type de test effectué et son résultat.

Le groupe hospitalier s'est montré avare en détails sur l'incident et s'est restreint au strict minimum légal : avertir les personnes concernées et prévenir les autorités compétentes comme le gendarme de la vie privée, la Cnil, et celui des attaques informatiques, l'Anssi. Ce n'est que six jours plus tard, le 21 septembre que Le Monde démêlait les détails techniques de l'affaire.

L'attaque « zero day », presque imparable

Au centre de l'incident se trouvait une faille du logiciel « Dispose », utilisé par les employés du groupement hospitalier pour partager des fichiers entre eux. Créé et hébergé par l'AP-HP,  « Dispose » est en réalité une version personnalisée d'un autre logiciel, « HCP Anywhere », édité par l'entreprise japonaise Hitachi. Bien que les caractéristiques précises de la vulnérabilité restent à ce jour inconnues, elle aurait permis d'accéder à la page de téléchargement des données échangées, où se seraient servis les pirates.

D

Lire la suite