five-establishments-affected-by-aleo-sante-data-theft

Five establishments affected by Aleo Sante data theft

November 23, 2024

Cinq etablissements de sante franciliens sont concernes par la fuite de donnees de sante du groupe Aleo Sante qui pourrait concerner des milliers de patients, selon des sources concordantes, proches du dossier.

Sur les cinq cliniques ou centres de soins concernes, seuls deux sont encore en activite, la clinique parisienne Alleray-Labrouste et l’hopital prive de Thiais (Val-de-Marne), selon ces sources.

Les trois autres etablissements concernes, le centre Luxembourg et la clinique Jeanne d’Arc a Paris, et la clinique Sainte-Isabelle a Neuilly-sur-Seine, ne sont plus en activite.

La direction commune de la clinique Alleray-Labrouste et de l’hopital prive de Thiais a porte plainte et prevenu la Cnil (le gardien de la securite des donnees des Francais), selon une source proche de la direction.

L’affaire a eclate en debut de semaine lorsque, sur un site de revente de donnees volees, un utilisateur anonyme a propose a la vente les donnees personnelles de patients soignees par le groupe Aleo Sante, affirmant detenir les donnees de 758.912 personnes.

Selon le pirate, qui a devoile en ligne un echantillon des donnees volees, le fichier mis en vente contiendrait des elements sensibles: outre les noms, prenoms, adresses electroniques et postales et dates de naissance, des informations medicales telles que l’identite du medecin traitant ou les ordonnances seraient notamment concernees.

Une fois l’alerte donnee, les investigations ont montre que les donnees avaient ete aspirees via l’usurpation d’un acces (par identifiant et mot de passe) a la plateforme commune de gestion des dossiers medicaux des patients qu’utilisaient les cinq etablissements concernes.

Les investigations sont en cours pour savoir combien de personnes exactement ont vu leurs donnees volees, les estimations ne reposant pour l’instant que sur les allegations du pirate.

Selon une source proche du dossier, Aleo Sante a identifie pour l’instant une quinzaine de personnes dont les donnees ont ete derobees et est en train de les prevenir.

Vendredi, le parquet de Paris n’avait pas ete saisi de cette affaire.

Depuis le debut de la semaine, plusieurs entreprises ont ete victimes de fuites de donnees.

Le magazine Le Point a ainsi confirme que ses lecteurs ont ete touches, sans en devoiler le nombre. La section de lutte contre la cybercriminalite du parquet de Paris a ouvert une enquete confiee a l’Office anti-cybercriminalite (OFAC), a indique le parquet vendredi.

Direct Assurance, filiale du groupe Axa, a egalement indique que 15.000 de ses clients etaient concernes.

Leurs noms, prenoms, adresses electroniques ont ete derobes, ainsi que leur Iban (numero international de compte bancaire) pour 5.800 d’entre eux, a precise l’entreprise.

« On constate une activite malveillante croissante de vols d’identifiants et de donnees sensibles », a indique a l’AFP un representant du CERT Sante, la vigie cyber du secteur, qui est rattachee a l’Agence du numerique en sante.

Les entreprises doivent etre « vigilantes » et « renforcer la securite » des acces aux donnees, a-t-on ajoute de meme source.

en_USEnglish