Le gouvernement finlandais tiendra une réunion de crise dans la semaine, a-t-il annoncé dimanche soir, après que les dossiers personnels de milliers de patients en psychothérapie ont été dérobés et pour certains publiés par des pirates informatiques, sur fond de chantage.
Selon la police, des "milliers" de patients ont déjà porté plainte et beaucoup ont dit avoir reçu des courriels dans lesquels des pirates exigeaient 200 euros en bitcoin pour empêcher la diffusion du contenu de leurs discussions avec les thérapeutes.
Dans le même temps, les associations de santé mentale et d'aide aux victimes disaient lundi être submergées d'appels de personnes craignant que leurs conversations avec leur thérapeute ne soient rendues publiques.
Ces données ont été dérobées à la société privée Vastaamo, qui gère 25 centres de psychothérapie à travers le pays nordique fort de 5,5 millions d'habitants.
"Nous enquêtons, entre autres chefs d'inculpation, sur une atteinte à la sécurité et une extorsion aggravées", a déclaré Robin Lardot, responsable de la police judiciaire, lors d'une conférence de presse dimanche, ajoutant que le nombre de patients touchés pourrait atteindre plusieurs dizaines de milliers.
De son côté, la société Vastaamo s'est dite "extrêmement désolée" face à la situation, tandis que des experts en sécurité ont déclaré au journal Helsingin Sanomat qu'un fichier lourd de 10 gigabits contenant les échanges privés entre les thérapeutes et leurs patients était apparu sur la toile noire.
Cette fuite a provoqué la consternation dans le pays. Le gouvernement s'est réuni dimanche pour discuter de la manière de soutenir les patients dont les données ont été divulguées.
"Il est absolument clair que les gens sont à juste titre inquiets non seulement pour leur propre sécurité et leur santé, mais aussi pour celle de leurs proches", a déclaré la ministre de l'Intérieur, Maria Ohisalo, à la presse dimanche soir.
Pour Mikko Hypponen, spécialiste de la sécurité des données, cette fuite est "très inhabituelle".
Selon lui, un seul autre cas de chantage de la sorte est connu à ce jour: en 2019, une clinique de reconstruction faciale en Floride s'était fait voler une "quantité moins importante" de données.
La ministre de l'Intérieur a par ailleurs déclaré que l'autorité finlandaise de régulation des services sociaux avait ordonné à Vastaamo de lui fournir des détails sur ses pratiques en matière de violation de données et sur la manière dont elle s'est acquittée de ses responsabilités.
Rien n'est a 100% sécurisé et non hackable/piratable, la société qui vend ou dis ça ment. Par contre vastaamo c'est une solution cloud. Mettre des données médicales dans le cloud reste, pour moi, inconcevable
— roi des pirates (@roidespirates) October 26, 2020
bien sûr tout est craquable (surtout pour le roi des pirates ), mais dans ma pratique à l'hôpital je vois des trous de sécurité "de base" tout le temps
— Rémi Florquin (@remi_florquin) October 26, 2020
Il faut remonter ça au service it mais malheureusement le premier "trou" de sécurité se trouve entre la chaise et le clavier
— roi des pirates (@roidespirates) October 26, 2020
absolument, c'est pas un problème d'infrastructure mais de réflexes de cybersécurité élémentaires, beaucoup plus difficile à gérer. (changer une ligne de code c'est facile, changer un comportement c'est autre chose)
— Rémi Florquin (@remi_florquin) October 26, 2020