Au moins ont-ils de l’humour. Les photos intimes de clients ne sont pas «tout à fait agréables à voir», ont écrit les pirates sur leur page située dans le darknet. Le groupe REvil fait allusion à des photos dont la diffusion pourrait en effet causer des dégâts colossaux. Il y a quelques jours, ces hackers ont réussi à subtiliser une masse considérable de données à une chaîne britannique de cliniques spécialisées dans la chirurgie esthétique. La possible négligence de cette chaîne, appelée The Hospital Group ou The Transform Hospital Group, pourrait causer des dégâts colossaux.

900 Go subtilisés

Au total, les pirates ont subtilisé plus de 900 gigaoctets de photos de patients, des clichés pris avant et après les opérations. Si ces clichés devaient être diffusés publiquement, des centaines, voire des milliers de clients de ce groupe de onze cliniques subiraient des dommages irréversibles. Pour l’heure, les responsables de ces établissements manient, un peu comme les pirates, un étrange humour noir – mais de manière involontaire: «Aucune des données de carte de paiement de nos patients n’a été compromise, mais à ce stade, nous comprenons que certaines des données personnelles de nos patients ont pu être consultées.» Evidemment, se faire pirater leurs données bancaires est aujourd’hui le cadet des soucis des patients.

Une cible facile

L’affaire est terriblement banale: des hackers, spécialisés dans les attaques par ransomwares, ont visé une cible sans doute facile et peu protégée. Ces pirates ont exploité une faille dans les systèmes informatiques des cliniques, les ont paralysés, ont siphonné des documents et exigent désormais une rançon. Sans doute y a-t-il eu négligence humaine, ou un niveau de protection trop bas. Et le mal est fait, comme précédemment dans des hôpitaux, des usines et même des cabinets d’avocats. Les vols de données sont devenus monnaie courante.

Avec au final un constat, qui se renforce un peu plus chaque semaine: nos données, parfois les plus intimes, ne sont pas suffisamment protégées. Elles ne sont sans doute nulle part en lieu totalement sûr. A celles et ceux à qui nous confions des informations sensibles de faire tout ce qu’ils peuvent pour en prendre le plus grand soin.

En septembre 2020: Pour la première fois, une attaque informatique a tué