Cyberattaque du laboratoire Inovie Labosud, 3,2 millions d'Héraultais potentiellement concernés

Une fuite de données colossale. Le groupe de biologie médicale Inovie Labosud a déposé plainte après avoir constaté un "accès non autorisé" à certaines données personnelles et médicales de ses patients. Une cyberattaque qui aurait eu lieu au mois d'août et qui pourrait concerner plus de trois millions de clients du laboratoire, selon une source policière consultée par l'AFP.

"Aucune coordonnée bancaire ou mot de passe d'accès à l'espace du serveur de résultats patients n'a été compromise", a assuré dans un communiqué publié ce mardi 23 septembe soir le groupe, dont les 100 laboratoires situés dans l'Hérault, le Gard et Bouches-du-Rhône prennent en charge quotidiennement plus de 15.000 patients.

Les "informations concernées sont de nature administrative: données d'identité des patients, coordonnées de contact, numéro de sécurité sociale et coordonnées des professionnels de santé les prenant en charge".

En outre, "pour certains patients, des données médicales strictement liées aux caractéristiques des examens réalisés en laboratoire pourraient être concernées", ajoute le groupe, qui ne précise pas le nombre de patients dont les données ont fuité.

Une saturation anormale des serveurs

Une source policière estime à "3,2 millions le nombre de clients concernés par l'exfiltration de données, dont un million concernant des informations médicales relatives aux pathologies, aux traitements ou encore aux documents médicaux".

Selon cette source, qui a requis l'anonymat auprès de l'AFP, l'attaque remonte au 31 août, lorsque les systèmes de données du laboratoire ont subi une "saturation anormale de leurs serveurs" et "l'exécution de scripts (virus) se connectant au réseau".

La plainte, déposée auprès de l'Office anticybercriminalité (Ofac), date 22 septembre, selon la même source. Les auteurs de l'intrusion auraient utilisé les identifiants et mots de passe d'un prestataire du groupe, a-t-elle ajouté, en indiquant qu'aucune demande de rançon n'a été formulée à ce stade.

Dans son communiqué, Inovie Labosud ne précisait pas le nombre de ses patients concernés ni la nature exacte de l'attaque. Sollicité par l'AFP, son service de communication n'était pas joignable jeudi à la mi-journée.

Dans son communiqué, le groupe assurait avoir, "dés la détection de l'incident", "pris toutes les mesures pour interdire l'accès non autorisé et pour circonscrire immédiatement l'incident", avec l'aide des services de l’État. Les patients concernés ont été avertis par courriel et un numéro téléphonique dédié a été créé, selon le groupe.