1,4 million de Françaises et de Français sont concernés par une fuite de résultats de leur test covid. Des démarches seront peut-être à entreprendre pour protéger ses données personnelles et médicales.

L’affaire a été rendue publique mi-septembre : l’Assistance publique-Hôpitaux de Paris (AP-HP) a été la victime d’un piratage informatique, causé par une vulnérabilité critique dans un logiciel qu’elle utilise pour déposer et échanger des fichiers entre membres de l’AP-HP. Résultat des courses, les tests de dépistage au Covid-19 de 1,4 million de Français se sont retrouvés dans la nature.

Dans ce cadre, des données à caractère personnel, mais aussi des informations médicales ont été sorties : l’identité du patient testé, son numéro de sécurité sociale, ses coordonnées (adresse mail, numéro de téléphone, adresse postale), le type de test effectué et son résultat. Et pour ne rien arranger, l’identité et les coordonnées du professionnel de santé qui a réalisé le test ont aussi fuité.

Toutes les personnes concernées ont été contactées par l’AP-HP afin de les informer de la situation, mais aussi de ce qu’il convient de faire pour éviter les mauvaises surprises — et, le cas échéant, le comportement qu’il convient d’adopter s’il est constaté un usage frauduleux de ses données personnelles. Plusieurs actions sont à disposition des victimes.

Attention au phishing vous prenant pour cible

La première chose à faire et de faire preuve de la plus grande prudence à l’égard de tout courrier, mail, SMS ou appel téléphonique qui mentionne ce test covid ou votre état de santé face au coronavirus. Des personnes malveillantes exploitent en effet ce type de fuite pour composer des messages frauduleux, parfois très crédibles, pour vous pousser à faire des actions précises.

Ces messages imitent parfois très bien de vrais services authentiques pour berner l’usager. Ainsi, ils pourraient se faire passer pour l’Assurance Maladie et faire croire qu’il va y avoir un remboursement ou un dédommagement après ce test covid. Le fait que le numéro de sécurité sociale ait été extrait lui aussi peut donner beaucoup de poids au message et le rendre très convaincant.

1078.jpg

L’allégorie classique du phishing : le pirate attend que vous mordiez à l’hameçon. // Source : Phuong Nguyen

Un bon indice du caractère douteux peut être la promesse d’un gain quelconque ou bien la menace qu’il faille régler quelque chose très vite ou réaliser une action dans un temps court pour ne rien avoir à payer. D’autres indices, notamment des messages alarmistes sur votre état de santé, peuvent mettre la puce à l’oreille. Idem si le message est rédigé dans un français approximatif.

Pour ne pas courir le moindre risque, et échapper à ces opérations, appelées tentatives de hameçonnage (ou phishing), il est recommandé de ne cliquer sur aucun lien présent dans ce mail et ne pas suivre les indications qu’il contient. Si vous avez un doute, passez plutôt par un moteur de recherche, rendez-vous directement sur le site web concerné, et prenez contact pour vérifier si tout est légitime.

Veillez sur vos données personnelles sur le net

Au-delà des phishings qui tenteront de vous cibler directement, vous allez peut-être croiser vos données personnelles et médicales au détour d’un site. Là encore, vous avez des leviers. La Commission nationale de l’informatique et des libertés (Cnil) met à disposition un outil de plainte en ligne, qu’il s’agisse d’un site classique, d’un forum, d’un réseau social ou d’un moteur de recherche.

Mais avant d’en arriver au stade de la plainte envoyée à la Cnil, vous pouvez tenter de prendre contact avec le responsable du site pour solliciter la suppression de ces données. Les principales plateformes comme Google, Facebook, YouTube, Twitter et Instagram ont des formulaires dédiés pour signaler des abus. Il vous faudra peut-être justifier la demande et en expliquant que cela expose votre vie privée.

cdstore.jpg

Les réseaux sociaux fournissent des outils pour signaler des abus. // Source : Pxfuel

Il est à noter que la Cnil fournit un modèle de courrier déjà pré-rempli et qui convoque la réglementation européenne à travers le RGPD. Attention : le modèle de courrier rappelle que le responsable du site bénéficie d’un délai d’un mois pour réagir. Si rien ne se passe très vite, cela ne veut pas dire qu’il n’accorde aucun intérêt à votre souci. Si les choses traînent trop, ou rien ne bouge, vous pouvez porter plainte.

Attention également : si le responsable du site a un mois pour réagir, le processus pour la suppression peut prendre aussi du temps. Si les principaux réseaux sociaux et les grandes plateformes devraient donner suite sans peine à vos demandes, de petits sites pourraient vous donner du fil à retordre. Si les contacter ne donne rien, prendre contact directement avec leur hébergeur est une piste.

Portez plainte

Si les choses prennent une tournure grave, avec une tentative d’escroquerie qui vous prend pour cible, vous pouvez directement porter plainte auprès des autorités. C’est le conseil que vient de délivrer la plateforme Cybermalveillance, qui dépend du gouvernement, le 23 septembre. Elle propose d’ailleurs un formulaire de lettre plainte électronique à envoyer aux forces de l’ordre.

« Une enquête préliminaire diligentée sur les instructions du parquet de Paris est ouverte à la brigade de lutte contre la cybercriminalité de la direction régionale la police judiciaire de Paris […] pour les infractions d’accès et maintien dans un système de traitement automatisé de données, extraction frauduleuse de données et collecte frauduleuse de données à caractère personnel », rappelle-t-elle.

test-covid-pcr-antigenique

L’origine du problème vient d’une faille dans un logiciel utilisé par l’AP-HP. // Source : Senado Federal

L’avantage de ce formulaire est qu’il peut être directement envoyé par e-mail à l’adresse « plainte-befti at interieur.gouv.fr », ou bien par courrier postal à la brigade de lutte contre la cybercriminalité (DRPJ Paris – BL2C 2021 – 160 36 rue du Bastion 75017 Paris). Vous avez aussi la possibilité de vous rendre directement dans une brigade de gendarmerie ou bien dans un commissariat de police.

Le procureur de la République du tribunal judiciaire peut aussi être contacté par courrier, relève Cybermalveillance. Le site signale aussi, si nécessaire, l’existence de l’association France Victimes, joignable au 116 006 (appel et service gratuits). Si vous entrez dans ces démarches, il est conseillé de garder précieusement toutes les preuves que vous avez à disposition, y compris par captures d’écran.

une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !