Des pirates ont tenté de rançonner un groupe de cliniques psychothérapiques finlandais, dont ils détenaient les comptes-rendus de consultation. Face à l’absence de paiement, les malfaiteurs se sont tournés directement vers les patients, à qui ils proposent de ne pas publier leurs données, en échange d’un plus petit paiement individuel.

Catastrophe en Finlande : Vastaamo, un des plus gros groupes de cliniques psychothérapiques du pays, a rendu publique une fuite de données, mercredi 21 octobre. Avec une terrible conséquence, puisque les comptes-rendus de consultations de milliers, voire de dizaines de milliers de patients d’après les autorités locales, ont été dérobés par des hackers.

Les pirates ont d’abord contacté trois employés de l’entreprise en septembre. Ils menaçaient de publier ces données si l’institution ne payait pas 40 bitcoins (près de 450 000 euros), d’après le Bleeping Computer. En réaction à l’absence de paiement, ils ont commencé à publier les dossiers de 300 patients sur un site accessible uniquement via le réseau Tor, repéré par le journal local Yle.

Image d'erreur

Pas de paiement de l’entreprise ? Les rançonneurs se tournent vers les patients. // Source : Christoph Meinersmann/Pixabay

Ensuite, les hackers ont trouvé un autre moyen de récupérer de l’argent : au lieu de rançonner l’entreprise responsable des données, ils rançonnent un à un chaque patient. Pour 200 euros en bitcoins, ils « garantissent » la suppression du dossier de la victime sur leur base de données. En cas de non-paiement sous 24 heures, ils doublent le montant à payer.

Selon le site finnois Ilta Sanomat, cette idée aurait germé après que certains patients ont contacté les pirates pour faire supprimer leur dossier. Les truands auraient alors fixé un prix de 0,05 bitcoin, soit 555 euros.

Une fuite liée vieille de deux ans

Pour enquêter sur l’incident, Vastaamo a embauché l’entreprise de cybersécurité Nixu. D’après elle, l’origine de la fuite remonte à novembre 2018, lorsqu’une personne s’était introduite sur le réseau du groupe.

Les experts ont également identifié une autre intrusion, en mars 2019, mais ils ne sont pas encore certains qu’elle a mené à un vol de la base de données des patients. Contrairement au premier, ce second incident a été détecté et remonté au CEO de l’entreprise, Ville Tapio… qui a décidé de le garder secret. Ni les autorités, ni les victimes, ni les autres dirigeants n’ont été avertis. Après la découverte de l’incident, le CEO a été licencié, ce lundi 26 octobre.

Un nouveau plancher de mauvaises pratiques

Si Ville Tapio a passé l’intrusion sous le tapis, c’est notamment parce que l’entreprise allait finaliser son rachat par un autre groupe, PTK Midco, deux mois plus tard. Il s’est donc contenté de faire réparer la faille qui a permis l’intrusion, de sorte que l’audit de cybersécurité effectué dans le cadre du rachat n’a pas découvert de problème.

Désormais, plusieurs institutions finlandaises sont mobilisées sur le dossier. La police criminelle a ouvert une enquête pour le vol, l’extorsion et la publication des données, en insistant particulièrement sur le caractère exceptionnel de la situation, au vu du caractère critique des données.

Même si le milieu cybercriminel ne brille évidemment pas par son éthique et son honnêteté, cet incident franchit une limite qui n’avait été approchée qu’à de très rares reprises auparavant. Il s’ajoute à une liste d’incidents de plus en plus graves liés aux cyberattaques, dont la mort d’une patiente à la suite d’une attaque rançongiciel contre un hôpital.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !