Les données de millions d’assurés médicaux en vente sur le Dark Web

Après les réseaux sociaux, c’est au tour des organismes de santé de se voir exposées dans les échoppes du Dark Web. Depuis quelques jours, un pirate qui se fait modestement appeler "thedarkoverlord" a mis en vente d'énormes bases de données d'adhérents américains à des assurances médicales sur "The Real Deal", la place de marché underground qui a également été utilisée pour refourguer les centaines de millions d'identifiants de LinkedIn, MySpace et consorts.

Cette fois-ci, l'ordre de grandeur n'est pas le même. Les bases disponibles vont de quelques dizaines de milliers à quelques millions de patients. Nous avons pu constater que "thedarkoperator" propose actuellement trois bases, contenant 397.000, 210.000 et 48.000 références. Elles sont proposées aux tarifs de 300, 170 et 60 bitcoins. Ce qui représente respectivement 171.900, 97.410 et 34.380 euros.

Comparées aux réseaux sociaux, ces bases de données sont donc plus petites, mais elles sont dix à cent fois plus chères. Il faut savoir, néanmoins, qu'elles sont proposées de façon unique: seule une personne peut en devenir l'acquéreur, ce qui fait automatiquement monter le prix. A noter, toutefois, que le pirate a divisé ses tarifs par deux en l'espace de quelques jours. La demande pour ce type de marchandise n'est donc visiblement pas très élevée. Selon ZDnet, il a également mis en vente une base de 9,3 millions de patients pour 750 bitcoins (429.750 euros). Mais depuis, cette annonce a été retirée du site.

D'après le site DeepDotWeb, qui a pu discuter avec le pirate par messagerie instantanée, ces données proviennent de plusieurs piratages informatiques mais qui reposeraient tous sur la même méthode: l'exploitation d'une faille zero-day dans le protocole d'accès à distance RDP (Remote Desktop Protocol) utilisé par Windows. Cette faille aurait permis à "thedarkoverlord" de mettre un pied dans les réseaux informatiques des assurances médicales puis d'accéder, après mouvement latéral, aux bases de données des adhérents.

Usurpation d'identités

Selon Motherboard, qui a obtenu un échantillon des bases mise en vente, les données contiennent des noms, des prénoms, des numéros d'adhérents, des numéros de sécurité sociale, des adresses et des dates de naissance. Aux Etats-Unis, ces informations permettent d'usurper l'identité de ces personnes et, par exemple, d'obtenir un crédit de manière frauduleuse.

Les établissements victimes ne sont pas nommés, et cela pour une bonne raison: le pirate est en train de les faire chanter. S'il n'obtient pas la rançon demandée, il jettera leurs noms sur la place publique. "La somme demandée est modeste comparé aux dégâts que provoquerait une diffusion publique", souligne le cybermalfrat auprès de Motherboard.