AP HP Logo.png
Pour changer, on continue avec le vol de données liées à la santé
Vol de données à l
Assistance publique – Hôpitaux de Paris (AP-HP)
Comme d'habitude tout le monde porte plainte (pour se couvrir et pour suivre le processus), va "investiguer" parle de mesures à prendre, et comme d'habitude personne n'est capable d'anticiper, d'analyser, sécuriser..
AVANT
On se demande si il y a quelqu'un en charge de la sécurité, des systèmes, réseaux etc dans ce Ministère
On peut espère que le tout était chiffré...
Je cite :
https://www.aphp.fr/contenu/lap-hp-port ... partage-de
A la suite d’une attaque informatique »,
les données personnelles d’environ 1,4 million de personnes, qui ont effectué un test de dépistage du Covid-19 en Ile-de-France mi-2020, ont été dérobées, a annoncé l’Assistance publique – Hôpitaux de Paris (AP-HP), ce mercredi.
Cette attaque a été « conduite au cours de l’été et confirmée le 12 septembre », a indiqué dans un communiqué l’AP-HP, qui a ajouté avoir porté plainte mercredi auprès du procureur de Paris.
Les faits ont également été signalés à la Commission nationale de l’informatique et des libertés (Cnil) et l’Agence nationale de sécurité des systèmes d’information (Anssi).
_________________________________________
Edit du 22/09/2021 La source du vol de données
Des informations sensibles envoyées manuellement plutôt qu’automatiquement à la Sécurité sociale, une négligence dans leur suppression et une faille inconnue dans un logiciel : telle est la combinaison qui a permis l’attaque subie cet été par l’AP-HP.
Le 15 septembre, lorsque l’organisme qui chapeaute les hôpitaux franciliens annonce l’incident, il ne précise pas un point crucial et inquiétant : les données dérobées ont été, un temps, publiées en libre accès sur Internet. C’est ce qu’a ensuite précisé Martin Hirsch, vendredi 17 septembre, dans un long courriel envoyé, comme la loi l’exige, à chacune des personnes concernées par cette fuite de données.
Hitachi Vantara distribue à ses clients, depuis dimanche 19 septembre 2021 , un correctif de sécurité pour une vulnérabilité inédite, une 0-day, ayant affecté" Hitachi Content Platform Anywhere (HCP Anywhere"). C’est celle-là qui au cœur du service Dispose de l’AP-HP.
Source :
https://www.hitachivantara.com/blog/hcp ... -resolved/
Autre source : Le Monde
https://www.lemonde.fr/pixels/article/2 ... 08996.html
"Le service Dispose a été utilisé pour le transfert de données de tests entre juin et octobre 2020, avant la mise en œuvre du SI-DEP, utilisé notamment par l’Assurance-maladie pour le contact-tracing.
L AP-HP a été avertie par l’Agence nationale pour la sécurité des systèmes d’information (Anssi) le 30 août de l’existence d’une faille dans le service Dispose.
L’AP-HP précise avoir été avertie de la publication des données le 9 septembre. Les données ont donc été accessibles pendant au moins cinq jours
Aujourd’hui, cet envoi vers l’Assurance-maladie est automatique et sécurisé. Mais en septembre 2020, le dispositif d’envoi n’est pas encore fonctionnel. Les salariés de l’AP-HP doivent donc envoyer manuellement à leurs confrères de l’Assurance-maladie les données nécessaires. Pour cela, ils ont recours à un service interne à l’AP-HP, appelé Dispose et utilisé par les salariés du groupement hospitalier pour s’échanger divers fichiers.
Il s’agit de l’équivalent des services Box ou Dropbox, hébergé par les serveurs de l’AP-HP : ses agents y déposent les données, qui peuvent ensuite être récupérées par l’Assurance-maladie au moyen d’un lien. Pour chaque envoi, un mot de passe est transmis aux équipes de l’Assurance-maladie par un canal séparé. C’est le cas pour cet envoi, qui concerne des données de tests, principalement de Franciliens, réalisés sur une période de cinq mois, entre juin et octobre 2020.
Cela n’est pas prévu par le texte du décret instaurant Sidep et implique des risques en matière de protection des données. L’AP-HP se défend, mettant en avant les « mesures de chiffrement » des données présentes sur cette plate-forme, qui dispose en outre « de la certification “hébergement de données de santé” », et expliquant avoir adopté cette solution « plutôt que de mettre en danger le contact tracing et d’affaiblir les outils de pilotage de la dynamique épidémique ».
La Commission nationale de l’informatique et des libertés (CNIL), qui surveille Sidep comme le lait sur le feu, a été informée de ce mode de fonctionnement, n’y a rien trouvé à redire et « a vérifié que les fonctionnalités basiques d’authentification étaient bien mises en place », explique au Monde l’institution. L’enquête ouverte par la CNIL « devra permettre de déterminer si l’AP-HP s’est acquittée de ses obligations en matière de sécurité informatique pour cet outil », précise-t-elle.
En théorie, après chaque transfert, les données étaient supprimées manuellement. Le lien permettant l’accès à celles-ci était en outre censé s’autodétruire après sept jours. Les données placées sur Dispose en septembre 2020 sont pourtant restées pendant un an sur les serveurs de l’organisme. Concrètement, quiconque disposait du lien pouvait accéder à la page du téléchargement. Seul un mot de passe empêchait l’exfiltration des données. Comment expliquer cette défaillance ? « L’enquête interne en déterminera les raisons », précise-t-on à l’AP-HP.
C’est ici qu’intervient une faille informatique. L’AP-HP est avertie de son existence par l’Anssi le 30 août dernier. Dans la foulée, dès le 2 septembre, le parquet de Paris ouvre une enquête préliminaire autour de plusieurs chefs d’accusation de piratage informatique et confie l’enquête aux policiers spécialisés en cybercriminalité de la préfecture de police."
__________________________
Un service de partage de fichiers piraté
Les pirates n’ont pas visé le fichier national des tests de dépistage (SI-DEP) mais « un service sécurisé de partage de fichiers », utilisé « de manière très ponctuelle en septembre 2020 » pour transmettre à l’Assurance maladie et aux agences régionales de santé (ARS) des informations « utiles au "contact tracing" ».
Ces données incluent
Code : Tout sélectionner
- l’identité
- le numéro de Sécurité sociale
- les coordonnées des personnes testées
ainsi que
l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé », mais ne contiennent « aucune autre donnée médicale ».
Les personnes concernées informées
Au total, « les fichiers dérobés concernent environ 1,4 million de personnes, presque exclusivement pour des tests réalisés mi-2020 en Ile-de-France », précise l’AP-HP, assurant que les intéressés « seront informés individuellement dans les prochains jours ».
ORIGINE
L’institution reconnaît que « le vol pourrait être lié à une récente faille de sécurité de l’outil numérique » qu’elle utilise pour le partage de fichiers, dont « les accès ont été immédiatement coupés en attendant la fin des investigations ».
Ces dernières « se poursuivent pour déterminer l’origine et le mode opératoire de cette attaque ». Le ministère de la Santé a indiqué avoir lui aussi « décidé de porter plainte », afin « que toute la lumière soit faite sur cette fuite, ses conséquences, et que toutes les mesures nécessaires soient prises pour qu’un tel événement ne se reproduise pas ».
L’attaque a porté sur un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP, qui lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe.
Ce service a été utilisé de manière très ponctuelle en septembre 2020 pour transmettre à l’Assurance Maladie et aux Agences Régionales de Santé des données issues de laboratoires de biologie médicale utiles au suivi et à l’accompagnement des personnes (« contact tracing »).
Cette option a servi en complément du système d’information national de dépistage (SI-DEP), dont l’AP-HP assure la maîtrise d’œuvre pour le compte du ministère des Solidarités et de la Santé et qui rencontrait des difficultés techniques dans ses outils de transmission.
Le système d’information national de dépistage (SI-DEP) n’est pas concerné par l’attaque.
A noter et sans lien avec ce qui précède :
Michel Barnier, ancien commissaire européen, propose de passer à la carte vitale biométrique afin de supprimer la fraude à la Sécurité Sociale. «
« Pour faire cesser un certain nombre de fraudes, toute personne qui dispose d’une carte vitale soit obligée de la changer, pour une carte biométrique » annonce-t-il. « Il y a beaucoup plus de cartes Vitale que de citoyens français, ce qui n’est pas normal » poursuit-il. « Pour que tout cela soit possible, il faut que nous ayons un changement de la constitution et donc je vais consulter le peuple » ajoute-t-il.
_______________
Edit du 18/09/2021
Lettre d'excuses de l'APHP et signée par Martin HIRSCH, Directeur de l'AP HP
Les entêtes indiquent bien l'origine avec en plus (j'indique, ce qui permet de vérifier en cas de phishing)
[email protected]
[email protected]
Pour le reste mon module d'empreinte DKIM a bien reconnu la signature
MAIS sur une adresse mail (du moins me concernant) sans identité et sans rapport possible avec les données médicales, mais que j'ai donné pour un test sérologique, (un alias) je reçois un mail non chiffré qui indique que mes données sont volées, et qui en plus fait état de mon identité
En plus, il y a 2 erreurs dans ce document
- Il n'y a pas que les tests PCR mais AUSSI les tests sérologiques, qui ne sont pas des tests de dépistages
- Il est dit "lorsque renseignés".. Sauf que cette partie est obligatoire, puisque il faut fournir ces données de contact ne seraient ce que pour obtenir les résultats
Le paradoxe c'est que dans le cas du test sérologique pour un labo, les données de contact sont données pour la réception des résultats et il n'est nullement stipulé que ces données sont conservées ensuite par le labo à d' autres fins ET transmises ailleurs (du moins en 2020)
En plus pourquoi les tests négatifs sont conservés ?
Bref même dans le message d'excuses il y a des erreurs
Ce que l'on apprend par contre :
Le service "sécurisé de partage de fichiers (...) Des résultats d'examen de dépistage Covid 19 y étaient stockées, à titre exceptionnel
(...) ce service à été utilisé de manière très ponctuelle en septembre 2020
"Très ponctuelle" ne veut rien dire
Des tests récemment, ont permis de mettre en avant qu'un site subit des attaques de bots (et même attaque DDoS pour le faire tomber) pour déterminer des failles entre ..7 et 9 minutes (parfois moins) juste après sa mise en ligne
On apprend que les données étaient sur une plate forme de téléchargement, hébergée en nouvelle zélande et dont l'accès a été coupé le 14 septembre
Là aussi, ils ne savent pas que fermer un site etc n'empêche pas la diffusion ou c'est du mensonge par omission pour rassurer les gens ?
(Au passage il s'agit de MEGA nouveau nom de Mega Upload)
En plus le vol date de ... Septembre 2020 !
Il aura fallu un an pour s'en apercevoir(suite à l'affaire France connect on commence à s'inquiéter ?)
Les données, si exploitées le sont depuis longtemps
En plus on ouvre le parapluie...
A la lecture on voit bien qu'on minimise l'impact du vol de données, au motif que les données médicales n'ont pas été compromises.
Par contre le vol de nos données personnelles c'est permis, par négligence et/ou incompétence
(on a droit ensuite aux toujours mêmes conseils depuis des années)
Le pire c'est qu'il est dit "Soyez vigilants !".... Et eux alors ? Ils font quoi pour éviter les vols de données ?
En plus dans le mot d'excuse ne figure pas le fait qu'avec le vol de nos données, fuitent EGALEMENT l’identité et les coordonnées des professionnels de santé qui ont pris en charge les tests
Par contre cela parle de contact tracing mais pourquoi garder plusieurs mois les résultats NEGATIFS ?
Mieux, des gens ont reçu la lettre, mais n'ont JAMAIS effectué de tests pendant la période concernée
Du coup cela permet de déterminer que les données en circulation comprennent (on a le détail meme si on se doutait du contenu)
Code : Tout sélectionner
Nom prénom
Date de naissance
Sexe
Numéro de sécurité sociale
Adresse postale
Téléphone
Adresse electronique
Résultat de test
Quant au détail pour les professionnels de santé ils peuvent s’asseoir dessus ?
2021-09-18_162350.png
Edit du 21/09/2021
Sur son compte Twitter l'APHP indique et re twweté par Martin HIRSCH:
"Après échanges avec @ameli_actu nous confirmons que la connaissance du N° de sécu sociale et d'autres éléments figurant parmi ceux ayant fait l'objet de cette fuite de données comme l'adresse mail ou le numéro de téléphone ne suffisent pas pour accéder au compte Ameli.
Pour accéder au compte Ameli, il faut disposer d’un code personnel numérique ou alpha numérique."
2021-09-21_222220.png
Sauf que de mon point de vue,
je me soucie plus d’une usurpation d’identité, puisque notre fiche avec les données personnelles à fuité à cause d'une négligence et/ou incompétence, et cela ne semble pas être la vision de l'APHP ni de son Directeur
On leur montre la lune, ils regardent le doigt qui désigne la lune
-----
A savoir, il y a 2,6 millions de cartes Vitale surnuméraires
252 porteurs de cartes Vitale ont plus de 120 ans (une bonne partie sont à l'étranger)
On voit que la lutte contre la contrefaçon à la carte vitale est aussi efficace que celle concernant le Pass Sanitaire
Les faussaires et les utilisateurs ont de beaux jours devant eux...
Comme disent les médecins (Ne concerne que le médecin libéral en cabinet Medical) : je n’ai pas le droit de vérifier l’identité d’un patient qui présente une carte vitale en consultation, même si l’âge semble aberrant, mais un serveur peut connaître mon nom et ma date de naissance si je veux boire un café en terrasse …." (pendant les vacances j'ai vu le patron du resto qui saluait chaque personne qui présentait son pass par un bonjour .. prénom"... ) De quel droit ?
Par contre à l hopital (suite aux fraudes je présume) on vous demande carte mutuelle, carte vitale et d identité...
2021-09-22_002112.jpg
Les paradoxes de la chose....
La carte vitale biométrique ayant été retoquée, on va avoir droit à la carte vitale dématérialisée
https://actu.fr/ile-de-france/paris_750 ... 96467.html
Où il est dit "Une fois l’application téléchargée, les utilisateurs devront saisir leur numéro de sécurité sociale, réaliser une capture vidéo de leur carte d’identité ainsi qu’un selfie vidéo. "
Et.. elles vont où les données ? Stockées chez qui ? Elle a été faite par qui l'appli ? etc
Vu les données absorbées par nos téléphones et qui partent un peu partout, sans compter le vol du portable... On peut se poser des questions sur la sécurité de la chose
Du reste ce mardi 22/09 on apprend que :
https://www.bfmtv.com/politique/le-qr-c ... 10313.html
"L’Élysée a confirmé ce mardi que c’est bien le QR code du pass sanitaire du président de la République Emmanuel Macron qui a été diffusé sur les réseaux sociaux. Des « dispositions particulières » vont être prises a indiqué l’Élysée.
Le QR code correspondant au pass sanitaire du chef de l’État a été diffusé sur les réseaux sociaux ce lundi. Une information confirmée par l’Élysée ce lundi. Quelques jours plus tôt, celui du Premier ministre Jean Castex a aussi été massivement partagé, après avoir été pris par une agence de presse photographique. Il a depuis été désactivé."
En fait la question que l'on peut se poser c'est : Est ce que du fait du poste qu'ils occupent, ils ont besoin d'un pass sanitaire (avec donc le QR code) dans leurs déplacements ? :-)
Son service de sécurité sait que meme si il le présente, en face il suffit d'avoir une autre appli que "TousAntiCovid Verif" afin de l'enregistrer ? (c'est la même chose lorsqu'on présente son pass sanitaire dans les lieux où c'est demandé, il faut avoir confiance en la personne à qui on le présente)
Le côté savoureux de la chose :
https://www.liberation.fr/checknews/est ... or=CS7-51-
"Contacté par CheckNews, l’Elysée n’a pas encore donné suite à nos sollicitations. De son côté, Matignon a profité de la fuite des deux pass pour rappeler que le QR code est un document personnel et sensible qu’il ne faut pas diffuser, de la même manière «qu’on ne diffuserait pas une photo de sa carte bancaire».
On ne le diffuse pas lorsqu'on doit le présenter un peu partout ?
On peut donc jouer sur les mots
De toutes les façons ce n'est pas cela qui va arrêter ce pass sanitaire puisque "pensé" depuis 2018 (corrigé au troisième trimestre 2019, pour la partie 2022, donc bien avant la crise Covid) , et ceux qui croient que cela sera terminé le 11 novembre n'ont toujours rien compris :-)
Site de l'union européenne
https://ec.europa.eu/health/sites/defau ... ap_en.pdf
(le WHO quifigure sur le côté gauche c'est l'OMS
Encore un an ou deux et ca sera couplé avec le passeport européen
Il manque juste la reco faciale pour sécuriser le tout, mais on y viendra
ET AILLEURS ?
Au Québec début septembre :
"M. Éric Caire Ministre délégué à la T ... sifiable."
Il joue sur les mots car il peut etre volé
Preuve en est puisque sont QR Code, celui du 1er Ministre François Legault, de son ministre de la Santé Christian Dubé, de diverses personnes de l'assemblée nationale, d'une Maire .. sont dans la nature et exploités
Fin aout il avait été découvert une faille permettant en plus de se forger des codes QR, déjouant les mécanismes de vérification de l’application du gouvernement et une autre méthode, permettait de télécharger illicitement les codes QR des élus en devinant leur numéro d’assurance maladie
En fait c'est la fête du slip en France, et ailleurs ce n'est pas mieux
__________
Edit du 27/09/2021
On n' a pas de détails sur la source du hack, mais les données des Italiens sont aussi en vente et là on atteint les 𝟳.𝟰𝗺𝗶𝗹𝗹𝗶𝗼𝗻s de datas vaccinales sur le 𝗖𝗼𝘃𝗶𝗱𝟭𝟵 mise en vente sur un forum (noms, adresses, numéros de téléphone, numéros de sécurité sociale, dates de naissance et plus)
2021-09-27_134207.png
Concernant le vol de données de l'APHP
Comme le précise Numérama et le site Cybermalveillance
"Les personnes concernées qui seraient victimes d’une approche malveillante, par mail, SMS appel téléphonique, ou autre utilisant les données divulguées, et notamment leur numéro de sécurité sociale, sont invitées à déposer plainte en utilisant le formulaire de lettre plainte sans avoir besoin de se rendre dans un commissariat ou une gendarmerie.
Pour cela, il leur suffit de télécharger, remplir, enregistrer et renvoyer simplement par mail ce formulaire spécifique avec l’ensemble des preuves dont elles peuvent disposer à l’adresse
[email protected] ou par courrier à la Brigade de Lutte Contre la Cybercriminalité (DRPJ Paris – BL2C 2021 – 160 36 rue du Bastion 75017 Paris)."
https://www.cybermalveillance.gouv.fr/t ... ectronique
Je précise qu'il ne s'agit pas d'un formulaire pré-renseigné ayant pour destination un dépôt de plainte CONTRE l'APHP pour négligence etc, mais d'un formulaire SI vous êtes victime d'une "'approche malveillante"
"Le procureur de la République du tribunal judiciaire peut aussi être contacté par courrier, relève Cybermalveillance. Le site signale aussi, si nécessaire, l’existence de l’association France Victimes,
https://www.france-victimes.fr/ joignable au 116 006 (appel et service gratuits). Si vous entrez dans ces démarches, il est conseillé de garder précieusement toutes les preuves que vous avez à disposition, y compris par captures d’écran."
Source :
https://cyberguerre.numerama.com/13423- ... faire.html
Edit :
Pour lecture : Les enjeux de nos données de santé
https://www.internetactu.net/2021/11/10 ... -de-sante/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.