Le CHU de Rennes a été la cible d’une cyberattaque. Les données subtilisées, qui ont commencé à apparaître sur le dark web, concernent les patients, mais aussi le personnel de l’hôpital. L'établissement, qui a reçu un courriel suspect samedi 29 juillet, appelle à la prudence.
S.A.X.X, un hacker qui se dit « gentil », a publié un message sur X (Twitter), dans lequel il indique qu’un groupe de cybercriminels sous le pseudonyme #bianlian a mis en ligne 300 GO de données. Mais selon ce hacker, cette attaque est différente des nombreuses autres dont les hôpitaux avaient été victimes : « D'habitude, ce genre d'attaque est revendiqué et une sorte de compte à rebours est donné : si tel jour, nous n'avons pas reçu telle somme, nous balançons les données », a-t-il souligné. Cette fois, les choses semblent être différentes. « Des informations ont commencé à sortir cette nuit, apparemment sans raison », estime-t-il.
Le hacker « gentil » en déduit deux hypothèses : soit les négociations avec l’hôpital ont échoué, soit il y a autre chose. Mais il appelle tout de même à la prudence, car ce sont sûrement des dossiers médicaux qui sont partis dans la nature. De son côté, le CHU a déclaré, dans un communiqué publié le 29 juillet, qu'environ 30 professionnels de l'établissement avaient reçu, samedi, un courriel dont l'authenticité n'a pas encore été confirmée, menaçant de divulguer, sur le dark web, tout ou une partie des données détournées le 21 juin dernier.
Selon le même communiqué, les informations des patients auxquelles les cybercriminels ont eu accès proviendraient du Centre de soins dentaires (CSD), des salles techniques de cardiologie et des laboratoires de l'établissement hospitalier. De plus, les enquêtes ont révélé que des données personnelles des professionnels du CHU sont également touchées par cette fuite de données (telles que le numéro de sécurité sociale et les bulletins de salaire). Pour l’heure, le CHU n'a pas encore la capacité de « déterminer précisément la nature exacte et le contenu des données qui ont été concernées par cet accès illégitime », mais certaines indications sont disponibles.
Le CHU de Rennes dépose plainte pour cyberattaque
Le CHU de Rennes a déposé plainte au lendemain de la cyberattaque et a appelé les patients et le personnel à la plus grande vigilance, sachant que les victimes risquent d'être la cible d’escroquerie ou d’hameçonnage durant les semaines qui vont suivre. À rappeler que l'hôpital de Rennes n'est pas le seul à avoir subi une cyberattaque en Bretagne.
En mars dernier, le CHU de Brest a été victime d'un piratage informatique, entraînant plusieurs jours de fonctionnement en « mode dégradé ». Début juillet, le centre hospitalier de Saint-Renan, dans le Finistère, a également été confronté à une attaque similaire. Face à cette situation, le CHU de Rennes conseille aux patients de porter plainte en cas de découverte d'une utilisation frauduleuse de leurs données personnelles.
