L’affaire a été rendue publique mi-septembre : l’Assistance publique-Hôpitaux de Paris (AP-HP) a été la victime d’un piratage informatique, causé par une vulnérabilité critique dans un logiciel qu’elle utilise pour déposer et échanger des fichiers entre membres de l’AP-HP. Résultat des courses, les tests de dépistage au Covid-19 de 1,4 million de Français se sont retrouvés dans la nature.
Dans ce cadre, des données à caractère personnel, mais aussi des informations médicales ont été sorties : l’identité du patient testé, son numéro de sécurité sociale, ses coordonnées (adresse mail, numéro de téléphone, adresse postale), le type de test effectué et son résultat. Et pour ne rien arranger, l’identité et les coordonnées du professionnel de santé qui a réalisé le test ont aussi fuité.
Toutes les personnes concernées ont été contactées par l’AP-HP afin de les informer de la situation, mais aussi de ce qu’il convient de faire pour éviter les mauvaises surprises — et, le cas échéant, le comportement qu’il convient d’adopter s’il est constaté un usage frauduleux de ses données personnelles. Plusieurs actions sont à disposition des victimes.
Attention au phishing vous prenant pour cible
La première chose à faire et de faire preuve de la plus grande prudence à l’égard de tout courrier, mail, SMS ou appel téléphonique qui mentionne ce test covid ou votre état de santé face au coronavirus. Des personnes malveillantes exploitent en effet ce type de fuite pour composer des messages frauduleux, parfois très crédibles, pour vous pousser à faire des actions précises.
Ces messages imitent parfois très bien de vrais services authentiques pour berner l’usager. Ainsi, ils pourraient se faire passer pour l’Assurance Maladie et faire croire qu’il va y avoir un remboursement ou un dédommagement après ce test covid. Le fait que le numéro de sécurité sociale ait été extrait lui aussi peut donner beaucoup de poids au message et le rendre très convaincant.
Un bon indice du caractère douteux peut être la promesse d’un gain quelconque ou bien la menace qu’il faille régler quelque chose très vite ou réaliser une action dans un temps court pour ne rien avoir à payer. D’autres indices, notamment des messages alarmistes sur votre état de santé, peuvent mettre la puce à l’oreille. Idem si le message est rédigé dans un français approximatif.
Pour ne pas courir le moindre risque, et échapper à ces opérations, appelées tentatives de hameçonnage (ou phishing), il est recommandé de ne cliquer sur aucun lien présent dans ce mail et ne pas suivre les indications qu’il contient. Si vous avez un doute, passez plutôt par un moteur de recherche, rendez-vous directement sur le site web concerné, et prenez contact pour vérifier si tout est légitime.
Veillez sur vos données personnelles sur le net
Au-delà des phishings qui tenteront de vous cibler directement, vous allez peut-être croiser vos données personnelles et médicales au détour d’un site. Là encore, vous avez des leviers. La Commission nationale de l’informatique et des libertés (Cnil) met à disposition un outil de plainte en ligne, qu’il s’agisse d’un site classique, d’un forum, d’un réseau social ou d’un moteur de recherche.
Mais avant d’en arriver au stade de la plainte envoyée à la Cnil, vous pouvez tenter de prendre contact avec le responsable du site pour solliciter la suppression de ces données. Les principales plateformes comme Google, Facebook, YouTube, Twitter et Instagram ont des formulaires dédiés pour signaler des abus. Il vous faudra peut-être justifier la demande et en expliquant que cela expose votre vie privée.
Il est à noter que la Cnil fournit un modèle de courrier déjà pré-rempli et qui convoque la réglementation européenne à travers le RGPD. Attention : le modèle de courrier rappelle que le responsable du site bénéficie d’un délai d’un mois pour réagir. Si rien ne se passe très vite, cela ne veut pas dire qu’il n’accorde aucun intérêt à votre souci. Si les choses traînent trop, ou rien ne bouge, vous pouvez porter plainte.
Attention également : si le responsable du site a un mois pour réagir, le processus pour la suppression peut prendre aussi du temps. Si les principaux réseaux sociaux et les grandes plateformes devraient donner suite sans peine à vos demandes, de petits sites pourraient vous donner du fil à retordre. Si les contacter ne donne rien, prendre contact directement avec leur hébergeur est une piste.
Portez plainte
Si les choses prennent une tournure grave, avec une tentative d’escroquerie qui vous prend pour cible, vous pouvez directement porter plainte auprès des autorités. C’est le conseil que vient de délivrer la plateforme Cybermalveillance, qui dépend du gouvernement, le 23 septembre. Elle propose d’ailleurs un formulaire de lettre plainte électronique à envoyer aux forces de l’ordre.
« Une enquête préliminaire diligentée sur les instructions du parquet de Paris est ouverte à la brigade de lutte contre la cybercriminalité de la direction régionale la police judiciaire de Paris […] pour les infractions d’accès et maintien dans un système de traitement automatisé de données, extraction frauduleuse de données et collecte frauduleuse de données à caractère personnel », rappelle-t-elle.
L’avantage de ce formulaire est qu’il peut être directement envoyé par e-mail à l’adresse « plainte-befti at interieur.gouv.fr », ou bien par courrier postal à la brigade de lutte contre la cybercriminalité (DRPJ Paris – BL2C 2021 – 160 36 rue du Bastion 75017 Paris). Vous avez aussi la possibilité de vous rendre directement dans une brigade de gendarmerie ou bien dans un commissariat de police.
Le procureur de la République du tribunal judiciaire peut aussi être contacté par courrier, relève Cybermalveillance. Le site signale aussi, si nécessaire, l’existence de l’association France Victimes, joignable au 116 006 (appel et service gratuits). Si vous entrez dans ces démarches, il est conseillé de garder précieusement toutes les preuves que vous avez à disposition, y compris par captures d’écran.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !