Ce vendredi à 13h30, les données médicales de milliers de Neuchâtelois étaient à nouveau en ligne sur le darknet... avant d'être retirées dans la soirée. Les pirates informatiques avaient fixé un ultimatum pour que les cabinets médicaux paient une rançon, dont on ignore le montant. Faute d’avoir obtenu ce qu’ils voulaient, les hackers ont remis en ligne tout ce qu’ils avaient volé au sein de plusieurs cabinets médicaux des Montagnes neuchâteloises, avant à nouveau de revenir en arrière. Comme a pu le constater Le Temps vendredi, il s’agit de 43 651 fichiers.

Pour mémoire, les pirates avaient publié une première fois ces données sur le darknet mercredi, selon nos révélations. Quelques heures plus tard, ces données avaient été retirées, avant qu’un nouvel ultimatum soit fixé à jeudi, puis à ce vendredi. Un nouveau délai a été fixé au 8 avril. Que s’est-il passé? D’après notre enquête, les pirates ont eu l’espoir que les victimes entrent en contact avec eux pour s’acquitter de la rançon. Vendredi soir, un expert du darknet affirmait qu'«il est possible que les cabinets, voire les autorités politiques, négocient désormais avec les pirates pour payer une rançon.»

Lire aussi: Piratage de médecins à Neuchâtel: quelles données volées sont sensibles?

Données sensibles

Les données accessibles sur le darknet sont, rappelons-le, les noms des patients, leur adresse postale, leur date de naissance, leurs numéros de téléphone (fixe et mobile) et leur profession. Il y en a aussi sur les examens médicaux effectués, les pathologies et les traitements. On constate qu’un patient est séropositif. Un autre est consommateur de drogue. Un troisième est dépressif à la suite d’un accident. Ces données ont déjà été copiées par plusieurs personnes sur le darknet et proposées en téléchargement sur des forums de discussion spécialisés.

D’après nos informations, au moins un cabinet médical a, lui, accepté de payer une rançon. Le montant serait de plusieurs dizaines de milliers de francs. Cette nouvelle information fait suite à ce que publiait vendredi ArcInfo: selon ce média, un autre cabinet du canton avait subi une cyberattaque le 25 février. Ce cabinet affirme avoir «pu récupérer l’intégralité de ces données dès le 22 mars». Conclusion logique: ce cabinet a accepté de verser une certaine somme aux pirates pour que ses données ne soient pas publiées. Un ou plusieurs autres cabinets du canton n’ont pas fait ce choix.

Démenti à Fribourg

Et comme l’affirmait jeudi soir la RTS, il est possible que d’autres cabinets, situés dans les cantons de Vaud et Fribourg, aient été piratés. Mais pour l’heure, selon nos investigations, aucune trace de fichiers autres que ceux émanant d’un cabinet neuchâtelois n’a été trouvée sur le darknet. Nous avons contacté la société informatique fribourgeoise E-sculape, qui a installé des logiciels chez plusieurs cabinets. Vendredi, E-sculape nous affirmait ceci: «Les données médicales publiées le 31 mars et à nouveau ce jour sur le darknet, dont nous avons pu avoir connaissance, sont issues d’un seul des cabinets visés. Aucun document n’est issu du logiciel médical Mediway utilisé actuellement par le cabinet. Les données sont issues d’une autre source, utilisée antérieurement.»

L’affaire inquiète le préposé fédéral à la protection des données et à la transparence (PFPDT), qui a demandé que les patients concernés soient informés. «Il s’agit là d’une nouvelle alerte qui montre que les données médicales sensibles ne font souvent pas l’objet d’une protection suffisante en Suisse», selon le préposé.

«Un électrochoc»

«Il faut un vrai électrochoc en Suisse, appuie David Billard, professeur associé à la Haute Ecole de gestion de Genève (HES GE) et spécialisé en cybersécurité. Les organisations professionnelles (médecins et autres) devraient se prendre en main et commencer par faire un état des lieux de la capacité numérique de leurs adhérents (ou membres de leur organisation professionnelle). Lorsque l’on va voir un médecin ou un avocat, on s’attend à recevoir un avis médical ou un conseil juridique de qualité. De la même façon, on devrait avoir l’assurance que les informations que l’on échange soit traitées avec le même professionnalisme.»

Autre attaque

Alors que les investigations se poursuivent, on apprenait vendredi que le réseau pédagogique neuchâtelois (RPN) avait été touché par une cyberattaque. Ce dernier a été débranché, selon ArcInfo. Il n’y aurait a priori pas eu de vol de données car aucune augmentation du volume de données sorties n’a été constatée, a affirmé le canton. A noter qu’avant cette attaque, il n’y avait pas de système de double authentification pour les accès à distance au sein du RPN.

Lire aussi: Le nom du site OneDoc.ch lié à une cyberattaque