CyberattaqueLes dossiers de patients publiés sur le darknet ont ensuite été retirés
Après avoir mis leurs menaces à exécution une première fois, les hackers qui ont attaqué des cabinets de médecins ont lancé un nouvel ultimatum.
Les fichiers diffusés contiennent des listes de patients, y compris leurs nom, adresse, numéro de téléphone ou encore date de naissance.
Getty Images/iStockphotoAlors que le Conseil d’État neuchâtelois rassurait ce matin le parlement, expliquant qu’il avait progressé en matière de sécurité informatique, la nouvelle fait l’effet d’une gifle. Après le piratage mi-mars de deux cabinets médicaux neuchâtelois, des hackers ont publié sur le darknet les données de 43’651 fichiers médicaux, révèle une enquête du «Temps». Ils avaient fixé un ultimatum pour ce mardi, demandant une rançon et menaçant de diffuser ces données en cas de non-exécution. Ils sont donc passés à l’acte.
Les investigations du «Temps» révèlent que ces fichiers contiennent des listes de patients, y compris leurs nom, adresse, numéro de téléphone ou encore date de naissance. Pire: un certain nombre d’informations concernant leurs pathologies ou examens médicaux. On y apprend par exemple, précise le quotidien, qu’un patient est séropositif, qu’un autre consomme de la drogue, qu’un troisième est dépressif. Le journal mentionne qu’un des cabinets avait identifié le risque de piratage l’an dernier, et avait contacté son prestataire informatique. Celui-ci l’avait rassuré en lui rappelant les bonnes pratiques… mais en vain.
Payer ou ne pas payer, telle est la question
Mercredi, les fichiers en question ont toutefois été retirés par les pirates informatiques, qui ont donné aux cabinets concernés jusqu’à jeudi pour payer, dévoile «Arcinfo». Devraient-ils payer? «C’est une question très difficile. Si on paie, on attire d’autres cybercriminels et on subventionne le crime, peut-être même des criminels actifs dans le trafic d’armes ou de drogues. Mais si on ne paie pas, cela aura des conséquences pour les clients ou, dans ce cas, les patients. C’est un choix très personnel. Idéalement, il faudrait que les forces de l’ordre ou un régulateur puissent guider les victimes à prendre la meilleure décision», répond Steven Meyer, expert en cybersécurité chez Zendata.
Quant à Philippe Gilliéron, avocat et professeur à l’Université de Lausanne, spécialiste de la protection des données, il est plus catégorique: «Céder face à ce type de chantage, c’est abdiquer. Et quand on abdique, on alimente le système. D’ailleurs, il existe des assurances aujourd’hui qui prennent en charge ces demandes de rançon. Mais il y a un effet pervers: on abdique plus facilement. Cela dit, dans ce cas précis, il s’agit de données particulièrement sensibles. Leur publication peut détruire des réputations et être fortement préjudiciable.»