Des piratages qui peuvent coûter cher. Un chirurgien plastique de Beverly Hills, aux États-Unis, est visé depuis début février par une action collective en justice menée par ses patients, rapporte le site 404 Media.
Ils lui reprochent d’avoir permis puis minimisé deux attaques informatiques. Les pirates ont récupéré les données personnelles de nombreux patients ainsi que des photos d’eux dénudés. Les plaignants réclament au médecin 5 millions de dollars de dommages et intérêts.
Une demande de rançon
« Bien qu’il ait facturé des milliers de dollars à ses patients et qu’il ait eu accès à leurs informations médicales extrêmement confidentielles, le docteur Schwartz n’a pas respecté les mesures de sécurité de base nécessaires pour protéger ces informations contre les cyberattaques malveillantes », peut-on lire dans la plainte. Dans le détail, un premier piratage était survenu en octobre 2023. Menée par le groupe Hunter, cette opération avait conduit à une demande de rançon.
À cette occasion, les malfaiteurs avaient récupéré 1,1 téraoctet de données. Le médecin avait d’abord dissimulé l’attaque avant de la minimiser via l’entremise d’un « responsable de la cybersécurité » qui pourrait être son frère, précisent nos confrères. Le responsable aurait ainsi déclaré à une patiente que le piratage ne concernait que six personnes, que ces données n’avaient pas fuité, qu’il était en contact avec le FBI et qu’il avait complètement remanié son système informatique.
Aucune réaction
Or selon la plainte, aucune mesure de protection supplémentaire n’aurait été prise. Le chirurgien plastique a d’ailleurs été piraté une seconde fois en mars 2024. Cette fois, la totalité de ses données avaient été compromises.
À nouveau, le médecin a attendu près de dix mois et la publication des données par les pirates pour en informer ses patients. Les autorités n’auraient pas non plus été prévenues. « À ce jour, les pirates ont publié environ 30 dossiers de patients », souligne la plainte. D’autres dossiers devraient continuer à être publiés en attendant le paiement d’une rançon.
Une pratique courante
Ce rançonnage des données médicales est loin d’être une pratique isolée. Déjà en 2019, l’American Medical Association expliquait que 83 % des médecins aux États-Unis avaient subi une cyberattaque. Les grands hôpitaux et les cliniques privées en d’ailleurs ont signalé plus de 500 en 2024.
Selon nos confrères, les chirurgiens plastiques sont des cibles privilégiées, en raison notamment des photos sensibles qu’ils sont amenés à prendre dans le cadre de leur pratique. L’un d’eux, connu pour avoir opéré plusieurs membres de la famille royale britannique, avait déjà été ciblé en 2017.
