Cyberattaque à l'hôpital de Cannes : 61 gigaoctets de données personnelles ont fuité

Deux semaines après la cyberattaque, l'hôpital de Cannes confirme qu'un groupe de hackers a bien publié 61 gigaoctets de données médicales ce jeudi. Dans un communiqué transmis à la mi-journée, l'établissement précise que "la qualification des données exfiltrées se poursuit et un retour dans les prochains jours, circonstancié et personnalisé sera réalisé auprès des personnes et institutions concernées". Le directeur du centre hospitalier, Yves Servant, assurait pourtant la semaine dernière sur France Bleu Azur : "Nous ne déplorons aucune perte des données des patients."

ⓘ Publicité

Des informations de patients, mais aussi de salariés

La fuite de données a été révélée par le compte "Mr SaxX" sur X (ex-Twitter) qui se présente comme un "gentil hacker" et qui alerte fréquemment à propos de cyberattaques. Le groupe Lockbit, à l'origine du vol de données, a donc fait fuiter des bilans de santé, des évaluations psychologiques de patients mais aussi des informations provenant du personnel soignant.

Ainsi, certains relevés d'identité bancaires (RIB), bulletins de salaire ou cartes d'identité ont aussi été dévoilées.

Sur les captures d'écran publiées (et floutées) par "Mr SaxX", on remarque le bilan psychologique d'un patient de 3 ans réalisé en février, le bulletin de salaire d'une employée datant de mars 2022 ou encore une carte d'identité d'une Azuréenne née au Cannet et mesurant 1m58. Le lanceur d'alerte avait aussi montré que ces informations dévoilées étaient issues de nombreux dossiers appartenant à l'hôpital.

L'hôpital Simone Veil précise aussi qu'il n'a pas payé la rançon car la loi l'interdit "pour les établissements publics", précise Pierre Penalba, ancien chef de lutte contre la cybercriminalité et désormais formateur sur la prévention contre la cybercriminalité. L'établissement explique être accompagné pour lutter contre cette attaque par "différents partenaires spécialisés en cybersecurité" et avoir porté plainte.

L'activité de l'hôpital est presque revenue à la normale et le système d'information est en train d'être rétabli.

Que vont devenir ces données ?

Le chantage du groupe de hackers Lockbit n'ayant pas fonctionné, il a donc publié ces informations qui "vont se retrouver dans les prochaines semaines hélas dans différents forums du darkweb à la revente", précise "Mr SaxX" dans la continuité de son post. "C'est une vengeance et c'est une prévention par rapport aux personnes ou établissements qui ne veulent pas payer. Le but c'est de faire peur et la prochaine entreprise qui va être victime va se demander si elle prend le risque que ses informations soient publiées ou non", indique Pierre Penalba.

En clair, les données seront mises en vente sur un marché disponible dans les tréfonds d'internet, auquel seuls les initiés et les hackers ont accès. D'après lui, le groupe Lockbit n'aurait pas diffusé l'intégralité des fichiers récupérés dans le serveur de l'hôpital. "J'ai regardé la quantité de données et il n'y a pas les 60 gigaoctets. Le reste sera revendu sur le darkweb à d'autres arnaqueurs pour essayer d'extorquer de l'argent aux gens", assure l'ancien policier.

Quel est le montant de la rançon ?

D'après les différentes estimations, un dossier médical peut se vendre entre 50 et 250 euros et cela intéresse principalement "d'autres pays, notamment aux États-Unis, ces données sont commercialisées. J'imagine qu'un banquier ou un assureur peut être intéressé par ce type de données", expliquait Charles Blanc-Rolin, chef de projet en sécurité numérique en santé, à nos confrères de Franceinfo. Toujours selon "Mr SaxX", d'autres cybercriminels vont prendre le relai et "collecter, trier, réassembler, simplifier les données exfiltrées initialement par Lockbit dans la cyberattaque de Cannes et les remettre à la vente" dans les jours à venir.