La formation restreinte de la CNIL a infligé une amende de 1,5 million d’euros à Dedalus Biologie, « notamment pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes », et décidé de rendre publique sa décision, particulièrement accablante.
L’affaire remonte au 23 février 2021, lorsque Libération révélait que « Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne » :
« Selon les spécialistes, la fuite est d’une ampleur inédite en France pour des données ayant trait à la santé. Le fichier en question, que « CheckNews » a pu consulter, contient l’identité complète de près d’un demi-million de Français, souvent accompagnée de données critiques, comme des informations sur leur état de santé ou même leur mot de passe. Initialement partagée sur des forums de pirates informatiques, cette base de données est de plus en plus largement diffusée. »
Nous l’avions à l’époque analysée, et découvert qu’y figuraient plus précisément 489 838 numéros de sécurité sociale (ou NIR) et 478 882 personnes identifiées par leurs noms de famille, dont 268 983 femmes, 195 828 hommes, 13 478 qualifiées d’« enfant », 425 de « bébé » et 265 de « sœur », 270 569 numéros de téléphone fixe et 159 591 portables, 55 738 adresses email uniques de patients et 337 de médecins, et 14 997 mots de passe, le tout « en clair ».
La délibération de la CNIL précise que « les données à caractère personnel de 491 840 patients y figuraient, parmi lesquelles » :
- des données d’identification : numéro de sécurité sociale, nom, prénoms, sexe, adresse postale, numéro de téléphone, adresse électronique, date de la dernière visite médicale, date de naissance ;
- deux colonnes de commentaires libres contenant notamment des informations relatives aux pathologies des patients (VIH, cancers, maladies génétiques), à l’état de grossesse, aux traitements médicamenteux suivis par le patient ou encore des données génétiques ;
- des données d’identification du médecin prescripteur : nom, prénom, adresse postale, numéro de téléphone, adresse électronique ;
- des données relatives au préleveur : nom, prénom, adresse, numéro de téléphone ;
- des données relatives à la mutuelle du patient : « Id tiers payant » (suite de chiffres), adresse postale, numéro de téléphone ;
- une colonne « Identifiant SR » et une colonne « MP », correspondant, au regard de son contenu, aux identifiants et mots de passe utilisés par le patient pour se connecter à son espace.
Dès le 24 février, la CNIL procédait à « plusieurs contrôles, notamment auprès de la société Dedalus Biologie qui commercialise des solutions logicielles pour des laboratoires d’analyse médicale » et d’où semblaient émaner les données. Était également contrôlé Dedalus France, sa maison mère, « qui emploie environ neuf cents personnes et qui est composé, en France, de cinq sociétés ».
Cette précision est importante parce que nous avions révélé, un an auparavant, que ce « leader européen en matière de solutions logicielles de Santé » avait licencié, pour « fautes graves », un lanceur d’alerte qui avait précisément prévenu les autorités sur les nombreux problèmes de sécurité non traités par Dedalus.
Il avait entre autres découvert que « n’importe qui pouvait accéder à l’extranet, depuis le web. Ce qui permettait notamment d’accéder aux tickets ouverts par les hôpitaux et laboratoires clients ». Précédent qui a pesé dans l’établissement conséquent de l’amende infligée à Dedalus. Nous y reviendrons.
« En parallèle, le 1er mars 2021 », la CNIL faisait « délivrer une assignation en référé d’heure à heure aux différents fournisseurs d’accès à Internet, afin que soit assuré le blocage effectif du fichier contenant les données de près de 500 000 patients ».
Nous avions néanmoins réussi à le télécharger sur RaidForums, qui était à l’époque le plus gros forum de reventes de fuites de données. Il a depuis été saisi par les autorités et son administrateur de 21 ans incarcéré en Grande-Bretagne, en attendant une éventuelle extradition aux États-Unis, où le FBI vient de l’inculper pour de toutes autres affaires.
« On peut retrouver ce fichier à 7 endroits différents sur internet », avait en effet expliqué Damien Bancal, journaliste spécialiste de la cybersécurité, qui avait le premier identifié la fuite le 14 février sur son site Zataz.