Quid de vos données ?

Les datas, si vous aviez encore un doute, se négocient à prix d’or. Car, elles sont une denrée plus chère que le fameux et légendaire lingot de métal jaune. Il suffit de se pencher sur un moteur de recherche pour mentionner vol et santé pour que vous ayez sous vos yeux plusieurs liens possibles. Le dernier en date en France, concerne l’affaire des 1, 4 millions de personnes dont les renseignements de test contre le SARS-CoV-2 furent dérobés. Sans oublier les 40 millions d’Américains, comme l’institut national d’assurance israélien.

Les données de 1,4 million de Français ayant effectué des tests anti-Covid à l’été 2020 ont été subtilisées, prévenait l’Assistance publique-Hôpitaux de Paris (AP-HP) en septembre 2021. De plus en plus fréquent, ce genre de vol laisse pantoises et incrédules les visées. Par le biais d’un simple courriel, les personnes touchées se voient confirmer qu’une « violation des données personnelles » concernant 1,4 million d’individus est réelle, déclarait l’AP-HP. Au menu, les noms, date de naissance, numéro de sécurité sociale sont parties dans les profondeurs de l’Internet. Elles peuvent permettre de concevoir de fausses identités, ou bien procéder à du hameçonnage en bonne et due forme. Bis repetita à la fin des vacances estivales avec FranceTest. L’année 2021 laisse apercevoir son crépuscule, que les attaques de l’année passée parfument encore l’air ambiant. En 2020, 27 hôpitaux étaient ciblés par des codes malveillants.

40 millions d’Américains touchés

Ils sont plus de 40 millions aux États-Unis qui ont vu leurs informations de santé exposées. Il existe un delta important par rapport à 2020. Selon les lois en vigueur outre-Atlantique, lesdites organisations du secteur sont tenues de signaler toute violation ayant un impact sur 500 individus ou plus, au bureau des droits civils du département de la santé et des services sociaux, ce qui rend ces violations, publiques. Au 8 décembre 2021, le bureau en a recueilli 578. Bien moins me diriez-vous que l’année passée, avec les 599 brèches signalées en 2020. Oui, je suis d’accord avec vous, à la différence près que les opérateurs malveillants n’avaient récupéré des données que d’environ 26 millions de personnes. Soit une augmentation de presque 154 %. Les dossiers médicaux contiennent des informations qui peuvent être utilisées pour présenter de fausses demandes de remboursement ou encore acheter des médicaments, sachant qu’ils sont hors de prix si vous n’avez pas de couverture maladie aux USA.

L’une des plus grandes violation en 2021, selon Health News Florida, est le résultat d’une cyberattaque de la Florida Healthy Kids Corporation, qui a exposé les informations de 3,5 millions de personnes. Sans oublier, la déconvenue du Southern Ohio Medical Center en novembre 2021, un hôpital à but non lucratif situé à Portsmouth dans l’Ohio.

Le Canada, Israël… touchés

Plus de la moitié des victimes connues de rançongiciel au Canada en 2021 étaient des fournisseurs d’infrastructures essentielles (énergie, santé et fabrication) selon le rapport du centre de la sécurité des télécommunications (CST). Les infections par ransomware sont « effrontées, sophistiquées, de plus en plus fréquentes et, pour les cybercriminels, très rentables », ajoute-t-il. La CST déclare avoir eu connaissance de 235 incidents liés au Ransomware-as-a-Service entre le 1er janvier et le 16 novembre 2021. « La pandémie de COVID-19 a rendu des organisations comme les hôpitaux, les gouvernements et les universités plus conscientes des risques liés à la perte d’accès à leurs réseaux, et se sentent souvent résignées à payer des rançons », note le rapport. Terre-Neuve-et-Labrador est toujours en rémission après l’attaque de son système de santé, « annulant des milliers de procédures médicales allant de la chimiothérapie aux radiographies », explique CBC. Atténuer les risques croissants nécessitera des efforts nationaux, stipule le compte rendu, mais cela passe par une éducation et ainsi « adopter les meilleures pratiques pour durcir les systèmes critiques, ainsi que des actions internationales coordonnées pour saper les infrastructures et tactiques criminelles ».

En Israël, c’est l’Institut national d’assurance (Bituah Leumi) qui déclarait mercredi 8 décembre 2021 que son site web s’était effondré… à cause d’une cyberattaque. Peu de temps après, l’institution reconnaît le type d’offensive qui avait fait tomber le site, était une attaque par déni de service (DDoS). Selon le NII, sa base de données n’a pas été pénétrée et le piratage se limite pour l’instant à perturber le fonctionnement du site Web.

Un hôtel 5 étoiles

Tandis que les vacances scolaires en France sonnent leurs arrivées ce soir, et que la neige est en abondance selon les stations, un hôtel suisse affublé de 5 étoiles était victime d’une cyberattaque. Le 8 décembre 2021, le Waldhaus, situé dans la station de Flims (Grison), aurait été victime d’une attaque par rançongiciel. Les faits se seraient produits le 18 octobre, indiquait le service de communication. Les cybercriminels auraient exigé une rançon pour le décryptage des données. Ils auraient en outre prétendu avoir téléchargé des informations des serveurs. L’hôtel n’a ni confirmé ni infirmé un éventuel règlement d’une quelque somme que ce soit.

D’autres données posent question, pour être plus précis, c’est l’utilisation de ces données qui interroge. C’est l’objet en France de la proposition de Loi sur la « Responsabilité pénale et sécurité intérieure ». Le gouvernement, comme il possède ce droit, a engagé la procédure accélérée sur ledit texte le 19 juillet 2021. La Quadrature du Net (LQDN) se bat, becs et ongles, contre de multiples dérives. Elle « promeut et défend les libertés fondamentales dans l’environnement numérique. L’association lutte contre la censure et la surveillance, que celles-ci viennent des États ou des entreprises privées. » Depuis la Loi de sécurité globale, elle est sur le pont, ou plus exactement face au parquet. Après avoir fait interdire juridiquement, par quatre fois l’utilisation policière des drones, elle se retrouve à une cinquième reprise dans le même combat. Les articles 7, 8 et 9 autoriseront la surveillance, pour le premier dans les cellules de gardes à vue et de retenues douanières pour « pour prévenir les risques d’évasion ».

Les suivants légifère la surveillance par drone, hélicoptère et voiture. Depuis plus d’un an, la police déploie illégalement des drones pour nous surveiller, malgré deux interdictions du Conseil d’État, une sanction de la CNIL et une censure du Conseil constitutionnel, explique LQDN. D’autant que l’article 16 autorisera la police à recourir à la violence physique, pour obtenir les empreintes digitales et la photographie des personnes suspectées d’avoir commis une infraction punissable d’au moins trois ans de prison (Art. 61-1 ou 62-2). « Les empreintes et photos ainsi obtenues pourront être recoupées avec les fichiers de police existants, notamment par reconnaissance faciale. »