En fin d’après-midi de ce mardi 4 juillet, l’Hospital Clínic de Barcelone a confirmé une nouvelle fuite de données des fichiers volés début mars par une bande de hackers. Ils ont prétendu avoir volé 4,4 téraoctets de données et pour pouvoir les récupérer ils ont demandé 4,5 millions de dollars (4 133 000 euros). Les responsables du centre ont assuré dès le départ qu’ils ne paieraient pas les ravisseurs, même si cela signifiait que l’information finirait par être exposée à toutes les parties intéressées.
A priori, on peut penser que les données de santé n’ont pas de valeur particulière. Cependant, ces criminels ont rencontré l’un des grande entreprise du 21ème siècle: le trafic des dossiers médicaux, une information très précieuse pour les entreprises technologiques, les pharmaceutiques, les assureurs ou encore les cabinets de recrutement et de conseil.
L’entreprise derrière l’attaque s’appelle rançon et son modus operandi jusqu’à il y a quelques mois consistait à bloquer les données internes des entités en saisissant le rançongicielun type de logiciel malveillant qui empêche les utilisateurs d’accéder à leur système et à leurs fichiers personnels et exige le paiement d’une rançon pour pouvoir y accéder.
[Así está revolucionando la IA la medicina: ya supera a los humanos analizando los ojos o el corazón]
En 2021, par exemple, l’Université autonome de Barcelone a subi une attaque similaire. L’intention était de payer une rançon et, si elle n’était pas payée, les données resteraient cryptées pour toujours. Cependant, ces derniers mois, RansomHouse est allé plus loin et a changé la méthode d’extorsion : vendre les données volées au plus offrant. Ils le font sur le dark web, un espace caché sur Internet qui n’est pas accessible avec les navigateurs conventionnels.
Une entreprise d’un million de dollars
Le livre Our Bodies, Our Data: How Companies Make Billions Selling Our Medical Records (Nos corps, nos données : comment les entreprises gagnent des millions en vendant nos données médicales, en espagnol) explique précisément comment, dans des pays comme les États-Unis, la vente de données médicales est un marché qui générer « des milliards de dollars« .
Son auteur, Adam Tanner, ancien correspondant de Reuters et journaliste d’investigation dans des points de vente tels que Scientific American, Forbes, Fortune et MIT Technology Review, est tombé sur l’entreprise en se plongeant dans la manière dont les entreprises collectent des informations sur les patients pour leur vendre des produits.
[Denuncian a los creadores de ChatGPT por robar datos personales para entrenar a su IA]
« J’ai été surpris de trouver un grand commerce caché du grand public, qui recueille des informations à partir d’examens médicaux, de diagnostics et de rapports d’hôpitaux, et est vendu par des sociétés commerciales. Ils enlèvent le nom, mais l’information finit par devenir un produit commercial », a expliqué Tanner lui-même dans un entretien pour la semaine.
La santé est devenue une activité très rentable ces dernières années. Aux États-Unis, par exemple, le marché médical a généré une chiffre d’affaires de 4,1 billions de dollars. Des entreprises comme Google, Amazon ou Microsoft en sont conscientes et c’est pourquoi elles ont commencé à développer des outils pour ce domaine, notamment des assistants qui utilisent intelligence artificielle pour aider avec le diabète ou le cancer. Mais pour que cela se produise, comme le souligne Tanner, ils ont besoin de plusieurs millions de données.
extorquer de l’argent aux patients
Les choses peuvent devenir encore plus troubles. tout comme ils ont sans sommeil médias tels que elDiario.es, les cybercriminels ont menacé le 14 avril de publier des informations sur malades infectieux. Selon signalé El País, lors de la première fuite, a versé données de santé des patients, identification des résultats, essais cliniques et les informations personnelles des professionnels de Clínic, telles que les pièces d’identité, les numéros d’école et les numéros de téléphone.
Pour le moment, on ne sait pas s’ils ont respecté l’avertissement avec cette nouvelle fuite. Ce serait une affaire très délicate. Au-delà de l’activité économique, ces données pourraient être utilisées à l’avenir pour le ciblage public et extorsion individuelle.
Alors que toute l’affaire est clarifiée, l’Autorité catalane de protection des données a signalé que un dossier informatif a été ouvert à la Clínic et aux entités liées au centre de décider si des moyens adéquats étaient disponibles pour protéger toutes ces données confidentielles.
Suivez les sujets qui vous intéressent