En Finlande, les dossiers de milliers de patients en psychothérapie ont été piratés et font désormais l’objet d’un chantage. Les données ont été dérobées à la société privée Vastaamo, qui gère 25 centres de psychothérapie dans le pays.
De nombreux patients ont déclaré avoir reçu des courriels demandant 200 € en bitcoin pour empêcher que le contenu de leurs discussions avec les thérapeutes ne soit rendu public.
Le chantage et la menace de divulgation publique de données confidentielles se sont largement développés ces derniers mois. Ils s’imposent comme un nouvel outil dans l’arsenal des cybercriminels, soucieux d’optimiser la rentabilité des attaques informatiques et des vols de données réussis. Leur méthode repose sur la peur.
Les victimes ne sont jamais certaines de la quantité ni de l’importance des données subtilisées. Dans le doute, elles peuvent être tentées de payer. Les entreprises savent qu’il est recommandé de s’en abstenir et en fonction de la criticité des données qu’elles gèrent, il est effectivement souvent préférable, sinon facile, de ne pas céder au chantage. Mais cette fuite de données spécifique, comme la plupart des fuites dans le secteur de la santé, touche à des informations extrêmement personnelles, voire intimes.
Il s’agit d’ailleurs d’une première en matière de rançon, les cybercriminels préférant en général les gros coups rentables ont cette fois pris le temps de contacter personnellement les individus. Si les contenus des conversations psy normalement confidentielles et placées sous le sceau du secret médical, devaient être rendues publiques, les conséquences pourraient être considérables tant au niveau relationnel que professionnel pour des personnes parfois fragiles.
Chiffrer les données quand elles transitent et quand elles sont archivées, vérifier le niveau de protection des bases de données devrait devenir des bonnes pratiques appliquées de manière systématique dans le secteur médical, plus encore que dans les autres secteurs. Si la sécurité ne devient pas la priorité première de notre nouvelle économie numérique, cet acte malveillant pourrait bien être le premier d’une série de fuites de données aux conséquences potentiellement dramatiques.
