Cyberattaque contre Inovie Labosud : les données médicales de 3 millions de patients ont fuité

Le secteur de la santé est de nouveau sous tension. Après les arnaques aux QR codes de l'Assurance Maladie, une cyberattaque massive contre le groupe de biologie médicale Inovie Labosud vient d'exposer les données personnelles et médicales de 3,2 millions de patients, qui se retrouvent désormais dans la nature.

Les informations dérobées sont particulièrement sensibles et comprennent :

• L'identité complète (nom, prénom, etc.),
• Les coordonnées de contact (adresse, téléphone...),
• Le numéro de sécurité sociale et des informations sur la mutuelle,
• Des détails sur la nature des examens médicaux réalisés.

Selon les experts en cybersécurité, ces données se négocient à prix d'or sur le dark web, leur valeur dépassant de loin celle de simples coordonnées bancaires.

Chronologie et faille de sécurité : comment l'attaque a-t-elle eu lieu ?

L'intrusion remonte au 31 août dernier, date à laquelle le groupe a remarqué une « saturation anormale de leurs serveurs ». Cependant, la plainte n'a été déposée que le 22 septembre, un délai qui, selon un expert, a pu être une manœuvre stratégique pour recueillir des preuves sur les attaquants.

La méthode des pirates a été d'une simplicité alarmante : ils ont utilisé les identifiants et mots de passe d'un prestataire externe du groupe pour s'introduire dans le réseau. Un expert interrogé par France 3 souligne le point crucial : « si le laboratoire avait eu un système de double authentification, l'attaquant ne se serait jamais connecté ». Fait notable, aucune demande de rançon n'a été formulée, ce qui indique une opération de vol de données pure, probablement destinée à la revente.

La réponse d'Inovie Labosud : communication et transparence

Dès la découverte, le groupe a prévenu les autorités compétentes (CNIL, ANSSI) et a contacté par mail l'ensemble des 3,2 millions de patients potentiellement concernés. Le président d'Inovie Labosud, Yoann Ehrhard, a insisté sur un « choix de la transparence totale », tout en nuançant que « cela ne signifie pas que toutes ces personnes informées sont touchées ». Le laboratoire a également mis en place une adresse mail dédiée pour les questions des patients : info.rgpd.labosud@inovie.fr.

Dans ses communications, le groupe s'est excusé, assurant qu'aucune coordonnée bancaire ni mot de passe d'accès aux résultats n'avaient été compromis.

Pourquoi vos données médicales valent-elles de l'or ?

La convoitise pour les données de santé s'explique par les multiples usages malveillants et lucratifs qu'elles permettent. Un numéro de sécurité sociale, par exemple, est une porte d'entrée royale pour l'usurpation d'identité. Il peut servir à souscrire des crédits, obtenir des soins frauduleux ou même générer une fausse carte européenne d'assurance maladie.

Le danger le plus insidieux réside cependant dans le profilage. En connaissant les pathologies d'une personne, des groupes criminels peuvent la cibler avec des publicités, tenter de l'arnaquer avec de faux traitements, ou même influencer des décisions cruciales comme un recrutement ou l'octroi d'une assurance.

Comme le résume sans détour un expert : « Ces données vont être vendues ». Pour les millions de patients concernés, la seule action possible est désormais de redoubler de vigilance face à d'éventuelles tentatives de phishing ou d'escroquerie ciblées.