“Rhôooooooooo!”

Vous utilisez un AdBlock?! :)

Vous pouvez le désactiver juste pour ce site parce que la pub permet à la presse de vivre.

Et nous, on s'engage à réduire les formats publicitaires ressentis comme intrusifs.

Je veux bien mais j'ai la freebox

Connectez-vous

pour sauvegarder mes filtres et personnaliser mon flux

continuer sa lecture

lire le journal

Découvrez l’offre abonnés numérique > J’en profite

"Inadmissible" piratage à l'hôpital de Monaco!

Mis à jour le 17/06/2016 à 05:15 Publié le 17/06/2016 à 05:15
Patrick Bini, le directeur du Centre hospitalier Princesse-Grace, a vigoureusement condamné devant la presse, hier, l'attaque informatique dont a été victime son établissement.

Patrick Bini, le directeur du Centre hospitalier Princesse-Grace, a vigoureusement condamné devant la presse, hier, l'attaque informatique dont a été victime son établissement. Photo Jean-François Ottonello

Soutenez l'info locale et Monaco-Matin

"Inadmissible" piratage à l'hôpital de Monaco!

La signature islamiste est une hypothèse peu crédible. Mais elle rend encore plus consternante l'affaire de divulgation des données professionnelles et personnelles des salariés de l'établissement

Alhamdulillah ». En français, « Que Dieu soit loué » ou « Gloire à Allah », selon les traductions. Le mot figure en toutes lettres dans l'onglet situé au bas du document informatique contenant toutes les données personnelles et professionnelles de 2 434 salariés du Centre hospitalier Princesse-Grace (CHPG). Ce fameux fichier informatique qui a été envoyé par mail, mercredi en fin de matinée, à plus de 500 destinataires monégasques et azuréens, après le piratage de la messagerie de la responsable du Système d'information du CHPG (lire nos éditions d'hier).

De quoi conférer un regard nouveau, encore plus inquiétant, à cette affaire qui agite déjà grandement l'hôpital monégasque depuis deux jours ? Pas sûr. Selon une source proche de la direction, on estime que « le hacker a voulu s'amuser en inscrivant ce mot. Si le pirate informatique avait véritablement des motivations islamistes, très franchement, il aurait agi autrement ». Et en l'absence d'une quelconque revendication depuis mercredi matin, les enquêteurs pencheraient également vers la thèse de la mauvaise blague. Jacques Dorémieux, le procureur général, reste prudent : « En soi, ce mot reste une information parmi d'autres. C'est peut-être une provocation, peut-être aussi un moyen utilisé pour emmener les enquêteurs sur une fausse piste. Pour l'instant, nous nous sommes incapables d'en dire plus. Toutefois, ce qui paraît le plus probable, c'est l'acte de malveillance. » Pas la menace terroriste, donc. L'information a toutefois été transmise aux autorités françaises. On ne sait jamais.

À l'offensive

Mauvaise blague ou astuce pour brouiller les pistes, cette allusion à Allah n'enlève en rien la gravité de cette affaire qui secoue le personnel du CHPG. Au point que le directeur de l'établissement a invité la presse, hier à la mi-journée. Patrick Bini a d'abord tenu à rassurer les patients : « Aucune information d'ordre administratif ou médical concernant les usagers n'a été divulguée lors de la cyber-attaque. »

Avant de passer à l'offensive : « Il est inadmissible que les professionnels du CHPG aient pu être victimes d'un tel acte, qui tente également de déstabiliser et salir l'image d'excellence du Centre hospitalier, dont la réputation est largement reconnue. Je partage leur indignation et leur colère. »

Dans les couloirs de l'hôpital, effectivement, on ne parle plus que de ça (lire ci-contre). Forcément, la divulgation sur la place publique d'informations confidentielles concernant 2 434 employés du CHPG, tous corps de métiers confondus, sur un effectif total dépassant les 2 700 personnes, a de quoi créer un émoi certain. Surtout quand on sait que l'état civil complet, le parcours professionnel et le salaire figurent notamment dans ce document envoyé à plus de 500 personnes, à Monaco en premier lieu, mais aussi dans les directions des services fiscaux des Alpes-Maritimes et les établissements de soins de la région Paca.

Une compilation de données

À cet égard, Patrick Bini a apporté plusieurs précisions hier. D'abord, « ces données sont pour la plupart caduques voire inexactes », assure-t-il. Certaines sont tout à fait exactes, toutefois, comme nous avons pu le vérifier auprès de plusieurs salariés. Le directeur du CHPG indique ensuite que « ce fichier n'existe pas en l'état au CHPG. Il semble qu'il ait été élaboré par le ou les hackers à des fins malveillantes ». Le fichier aurait ainsi été alimenté par diverses sources internes et représenterait une sorte de compilation. Certaines informations ont été modifiées, d'autres pas. Notamment sur le plan des salaires.

Rappelant au passage que « toutes les données informatiques détenues par l'établissement sont conformes à la législation », Patrick Bini ajoute que ce piratage constitue « une violation grave des règles de confidentialité et du respect de la vie privée à laquelle chacun a droit».

Précautions supplémentaires

La plainte déposée le jour même des faits par le CHPG, au nom de tous ses agents, a permis à la Sûreté publique d'ouvrir immédiatement une enquête, épaulée par une société monégasque spécialisée en informatique et en réseaux. Des ordinateurs ont été saisis, des salariés du CHPG entendus par la police. À l'hôpital, tout le monde attend avec une impatience affichée les résultats de l'enquête, pour démasquer celui qui est à l'origine de ce piratage informatique. Savoir s'il fait partie de la maison.

En attendant, « des précautions supplémentaires ont été mises en place pour éviter que de tels faits puissent se reproduire », affirme encore le directeur du Centre hospitalier Princesse-Grace.

Les questions qui se posent

- Risque de contrôle fiscal?
Parmi les quelque 500 destinataires du mail figurent les services fiscaux de plusieurs secteurs azuréens. Sans doute ceux des lieux de résidence des agents du CHPG. Le risque de contrôle fiscal est vite écarté par le fait que la source d’information est frauduleuse et, dans de nombreux cas, les données falsifiées. De toute façon, « le CHPG effectue les déclarations fiscales de tous ses agents », rappelle-t-on.
- Hacker interne ou externe?
Aucune hypothèse n’est écartée. Il semble néanmoins probable, malgré le mot en arabe figurant sur le document, que le hacker fait partie du personnel. Il fallait bien connaître l’hôpital et ses services pour réaliser le document, fruit d’une compilation, qui a ensuite été envoyé par mail depuis la messagerie de la responsable informatique à tout son répertoire.
- Quel est le but du jeu?
Il est de plus en plus évident que le hacker a cherché à nuire. L’ajout de destinataires, comme les services fiscaux ou quelques journalistes, le prouve. Mais nuire à qui? À la responsable informatique? Au CHPG dans son ensemble? La question reste sans réponse à ce stade.
- Et la protection des données?
Dès qu’elle a découvert l’utilisation frauduleuse de sa messagerie, la responsable informatique du CHPG a immédiatement envoyé un mail à tous ses destinataires, demandant d’effacer la pièce jointe. Dans un courrier adressé mercredi à l’ensemble du personnel, le directeur du CHPG a également demandé à chacun «de faire preuve de la discrétion qui s’impose ». Et hier, devant la presse, Patrick Bini en a remis une couche: « Toute personne qui tenterait sciemment de communiquer tout ou partie de ces données frauduleusement collectées s’exposerait à d’importantes sanctions pénales. » Bref, tout est fait depuis mercredi pour protéger ces données confidentielles.
- Quelles sont les peines encourues?
Avec l’aide de Me Alexis Marquet, l’avocat du CHPG, nous avons voulu savoir ce que risquaient le hacker et ceux qui utiliseraient les données confidentielles. Les faits commis par le hacker sont qualifiés de « vol et recel de données informatiques » et passibles d’une peine d’un à cinq ans de prison et d’une amende comprise entre 18000 et 90000 euros. Si le vol de données informatiques a été commis par un salarié du CHPG, la sanction encourue est la réclusion pour une durée de cinq à dix ans. L’infraction au secret des correspondances, qui peut également être reprochée au pirate, est punie d’un emprisonnement de six mois à trois ans et d’une amende comprise entre 9000 et 18000 euros.
Par ailleurs, la collecte ou l’utilisation de ces données informatiques, par un destinataire du mail frauduleux, est punie de trois mois à un an de prison et d’une amende.


commentaires

Les insultes, les attaques personnelles, les agressions n'ont pas leur place dans notre espace de commentaires.
Tout contenu contraire à la loi (incitation à la haine raciale, diffamation...) peut donner suite à des poursuites pénales.