Cinq établissements de santé franciliens sont concernés par la fuite de données de santé du groupe Aleo Santé qui pourrait concerner des milliers de patients, selon des sources concordantes, proches du dossier.
Sur les cinq cliniques ou centres de soins concernés, seuls deux sont encore en activité, la clinique parisienne Alleray-Labrouste et l'hôpital privé de Thiais (Val-de-Marne), selon ces sources.
Les trois autres établissements concernés, le centre Luxembourg et la clinique Jeanne d'Arc à Paris, et la clinique Sainte-Isabelle à Neuilly-sur-Seine, ne sont plus en activité.
La direction commune de la clinique Alleray-Labrouste et de l'hôpital privé de Thiais a porté plainte et prévenu la Cnil (le gardien de la sécurité des données des Français), selon une source proche de la direction.
L'affaire a éclaté en début de semaine lorsque, sur un site de revente de données volées, un utilisateur anonyme a proposé à la vente les données personnelles de patients soignées par le groupe Aleo Santé, affirmant détenir les données de 758.912 personnes.
Selon le pirate, qui a dévoilé en ligne un échantillon des données volées, le fichier mis en vente contiendrait des éléments sensibles: outre les noms, prénoms, adresses électroniques et postales et dates de naissance, des informations médicales telles que l'identité du médecin traitant ou les ordonnances seraient notamment concernées.
Une fois l'alerte donnée, les investigations ont montré que les données avaient été aspirées via l'usurpation d'un accès (par identifiant et mot de passe) à la plateforme commune de gestion des dossiers médicaux des patients qu'utilisaient les cinq établissements concernés.
Les investigations sont en cours pour savoir combien de personnes exactement ont vu leurs données volées, les estimations ne reposant pour l'instant que sur les allégations du pirate.
Selon une source proche du dossier, Aleo Santé a identifié pour l'instant une quinzaine de personnes dont les données ont été dérobées et est en train de les prévenir.
Vendredi, le parquet de Paris n'avait pas été saisi de cette affaire.
Depuis le début de la semaine, plusieurs entreprises ont été victimes de fuites de données.
Le magazine Le Point a ainsi confirmé que ses lecteurs ont été touchés, sans en dévoiler le nombre. La section de lutte contre la cybercriminalité du parquet de Paris a ouvert une enquête confiée à l'Office anti-cybercriminalité (OFAC), a indiqué le parquet vendredi.
Direct Assurance, filiale du groupe Axa, a également indiqué que 15.000 de ses clients étaient concernés.
Leurs noms, prénoms, adresses électroniques ont été dérobés, ainsi que leur Iban (numéro international de compte bancaire) pour 5.800 d'entre eux, a précisé l'entreprise.
"On constate une activité malveillante croissante de vols d'identifiants et de données sensibles", a indiqué à l'AFP un représentant du CERT Santé, la vigie cyber du secteur, qui est rattachée à l'Agence du numérique en santé.
Les entreprises doivent être "vigilantes" et "renforcer la sécurité" des accès aux données, a-t-on ajouté de même source.
G.Tara--BD