"Je condamne avec la plus grande fermeté la divulgation inqualifiable de données piratées issues du centre hospitalier de Corbeil-Essonnes", a tweeté dimanche le ministre français de la Santé François Braun.
"Nous ne céderons pas face à ces criminels. L'ensemble des services de l’État sont mobilisés", a-t-il ajouté.
L'hôpital assure la couverture sanitaire de près de 700.000 habitants, et la divulgation des informations de santé fait planer un risque de chantage ou d'extorsion sur les personnes concernées.
Selon l'hôpital, les informations divulguées par les pirates sur le "dark web" (les sites internet non référencés par les navigateurs classiques) "semblent concerner nos usagers, notre personnel ainsi que nos partenaires".
Parmi elles figurent "certaines données administratives", dont le numéro de sécurité sociale, et "certaines données santé telles que des compte-rendus d'examen", a poursuivi le centre hospitalier.
"L'attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l’espace de stockage" de l'établissement (environ 10%)", ajoute-t-il.
Selon Damien Bancal, l'auteur d'un blog de cybersécurité, Zataz.com, qui a pu consulter le fichier divulgant les données, celui-ci contient des documents aussi variés que des examens médicaux, des recours à la couverture médicale universelle (CMU), et une autorisation d'internement d'office en service psychiatrique.
Le risque est désormais que des escrocs montent de nouvelles attaques ciblées, en utilisant les informations personnelles à leur disposition pour capter la confiance de la victime.
Les attaquants vont par exemple rechercher "des patrons, des personnalités importantes", et monter des arnaques comme "les fraudes au président", où l'escroc arrive à obtenir un virement bancaire d'une institution en se faisant passer pour son dirigeant ou son directeur financier, a expliqué M. Bancal.
Les attaquants peuvent aussi utiliser les numéros de téléphone pour monter des arnaques aux cryptomonnaies, ou les adresses email pour faire du "hameçonnage" (en anglais "phishing", inciter l'internaute à télécharger des fichiers malveillants ou à cliquer sur des liens pour lui extorquer des identifiants et code d'accès...).
Selon Zataz, l'ultimatum posé par les hackers à l'hôpital expirait le 23 septembre. La rançon avait d'abord été fixée, lors de la cyberattaque le 21 août, à 10 millions de dollars, avant d'être ramenée à un ou deux million de dollars, selon les sources.
La loi française interdit aux établissements publics de payer des rançons.
