Des pirates vendent des dossiers médicaux volés de personnes décédées sur le dark web

Des chercheurs en sécurité informatique ont récemment découvert que les dossiers médicaux de personnes décédées étaient vendus de façon illégale sur le dark web1.

Ces dossiers étaient inclus dans une base contenant les dossiers médicaux de 140 millions de patients. Les experts de la société Cynerio estiment que la base contient les dossiers médicaux de 60 000 patients décédés identifiables grâce au champ « date du décès ».

La multiplication des fuites de données de santé à caractère personnel ces dernières années a provoqué une chute de leur valeur (d’après Cynerio, un acheteur devrait dépenser aujourd’hui 5200 € pour acheter 10 000 dossiers patients, soit 0€52/dossier patient). Afin de maximiser leurs gains, certains pirates ont donc développé des offres plus chères qui mettent en avant la qualité des données vendues.

Ainsi, certains mettent en vente les données de santé d’américains mineurs en indiquant qu'ils sont issus "de bonne famille qui peuvent leur apporter un bon soutien médical".

Aussi, d’autres indiquent si la base contient les informations de patients décédés qui représentent une cible privilégiée pour les pirates. En effet, avec ce type de profils, les risques de litiges juridiques sont en général plus faibles (la victime ne pouvant pas porter plainte) et la fraude est détectée plus tardivement (ce qui permet d'utiliser plus longtemps les informations de la victime avant qu'un quelconque blocage advienne).

Les pirates fournissent également aux acheteurs des guides indiquant comment exploiter les informations achetées pour s'assurer un revenu ou réduire ses dépenses. Parmi les conseils proposés dans ces guides :

  • la prise d'un rendez-vous médical ou l'achat de médicament en utilisant la mutuelle d'une autre personne;
  • l'usurpation d'identité afin de contracter un crédit, d'obtenir une carte de crédit, d'acheter un téléphone ou de pratiquer la fraude fiscale;
  • l’extorsion d'argent dans le cadre de chantage à la divulgation d’informations figurant dans le dossier médical.

1 : pages internet uniquement accessibles via un logiciel spécifique assurant l'anonymat des échanges. Cette partie d’internet, du fait de l’anonymat qu’elle offre, est notamment très utilisée dans le cadre d’activités illicites.