Des patients anxieux, qui prennent d’assaut les standards des centres de thérapie : la Finlande fait face à un piratage informatique massif de données après le vol de milliers de dossiers de patients en psychothérapie – dont certains ont été rendus publics, sur fond de chantage.
À voir aussi sur Konbini
Face à ce qu’elle qualifie de “violation extrêmement grave des données”, la ministre l’Intérieur Maria Ohisalo a voulu lundi rassurer la population pour qu’elle ne se détourne pas des services de santé mentale dans ce pays de 5,5 millions d’habitants qui, s’il a été couronné plusieurs fois le “plus heureux du monde” par l’ONU, est aussi le pays européen le plus touché par les maladies mentales.
D’après les données de l’OCDE, près d’un Finlandais sur cinq souffre de troubles psychologiques. Selon la police, des “milliers” de patients ont déjà porté plainte et beaucoup ont dit avoir reçu des courriels dans lesquels des pirates exigeaient 200 euros en bitcoin pour empêcher la diffusion du contenu de leurs discussions avec les thérapeutes.
Ces données ont été dérobées à la société privée Vastaamo, qui gère 25 centres de psychothérapie à travers le pays. “Nous enquêtons, entre autres chefs d’inculpation, sur une atteinte à la sécurité et une extorsion aggravées”, a déclaré à la presse Robin Lardot, responsable de la police judiciaire, ajoutant que le nombre de patients touchés pourrait atteindre plusieurs dizaines de milliers.
Vastaamo, qui s’est excusé, a aussi lancé une enquête en interne. Cité dans la presse locale, le groupe a assuré que sa base de données était “sécurisée” et que “aucune donnée n’avait fui depuis novembre 2018”, le piratage remontant donc à deux ans au moins.
“Ne communiquez pas avec l’extorqueur”
Vastaamo avait fait fin septembre l’objet d’un chantage signalé aux autorités qui lui avaient conseillé de ne pas le rendre public à ce moment-là pour protéger l’enquête. Les messages des pirates n’ont commencé à être envoyés aux patients et au personnel que ce week-end.
Les experts en sécurité ont signalé qu’un fichier de 10 gigabits contenant des échanges privés entre au moins 2 000 patients et leurs thérapeutes était apparu sur le dark Web. Cette fuite, qui a visé des personnes parmi les plus vulnérables de la société – y compris les enfants –, a provoqué la consternation dans le pays.
“Les gens sont à juste titre inquiets non seulement pour leur propre sécurité et leur santé, mais aussi pour celle de leurs proches”, a déclaré Maria Ohisalo à la presse.
Lundi, la police et les ministères ont ouvert un site pour les victimes de cette cyberattaque, qui vise à donner des conseils, notamment celui de ne pas payer la demande de rançon. “Ne communiquez pas avec l’extorqueur, les données ont très probablement déjà été divulguées ailleurs”, peut-on y lire.
Les associations de santé mentale et d’aide aux victimes disaient lundi être submergées d’appels de personnes craignant que leurs conversations avec leur thérapeute ne soient rendues publiques.
“Chercher de l’aide n’est jamais quelque chose dont on doit avoir honte”
Parmi les victimes, une ancienne députée a tweeté une capture d’écran du message de rançon accompagnée d’une réponse provocante à l’égard des pirates. “Allez vous faire voir ! Chercher de l’aide n’est jamais quelque chose dont on doit avoir honte”, écrit Kirsi Piha.
Chargement du twitt...
“C’est un cas très triste pour les victimes, dont certaines sont mineures. L’agresseur n’a pas honte”, a déploré sur Twitter Mikko Hyppönen, expert en sécurité informatique, ajoutant que l’auteur utilisait le pseudonyme “ransom_man”.
Selon lui, cette fuite est “très inhabituelle” et un seul autre cas similaire de chantage est connu à ce jour : en 2019, une clinique de reconstruction faciale en Floride s’était fait voler de nombreuses données mais en “quantité moins importante”.
Lundi, l’autorité finlandaise de régulation des services sociaux a déclaré enquêter sur les pratiques de Vastaamo, notamment sur la manière dont les patients ont été tenus informés de cette fuite.
Pour le chef de l’agence nationale des services numériques (DVV) Kimmo Rousku, la cyberattaque aurait pu être évitée si Vastaamo avait utilisé un meilleur cryptage. La DVV a publié une liste de contrôle pour les entreprises afin de s’assurer que leur sécurité numérique est appropriée.
Konbini news avec AFP