Skip to content
Cyber Breaches
Recherche
Menace interneRésolu

Vente de données de santé COVID-19 de la GGD

Des employés du service municipal de santé néerlandais GGD ont volé des données personnelles — dont les numéros d'identité nationaux BSN — des systèmes COVID-19 CoronIT et HPzone, puis les ont vendues sur Telegram, Snapchat et Wickr pour 30 à 60 € par personne.

Victime
GGD (service municipal de santé néerlandais)
SecteurSantéGouvernement
PaysPays-Bas
Attaquants nommésEmployés internes du centre d'appels de la GGD

En janvier 2021, la GGD néerlandaise (Gemeentelijke Gezondheidsdienst — les services municipaux de santé chargés des tests COVID-19 et du traçage des contacts) a subi une importante violation de données d'origine interne. Des agents de centre d'appels disposant d'un accès légitime aux systèmes pandémiques nationaux ont volé les données personnelles de citoyens néerlandais et les ont vendues sur des messageries chiffrées, exposant l'une des bases de données les plus sensibles constituées pendant la pandémie.

Ce qui s'est passé

La GGD exploitait deux systèmes COVID-19 centraux : CoronIT, contenant les données personnelles de toute personne ayant réservé ou passé un test de dépistage, et HPzone Light, un système de traçage des sources et des contacts. Pour assurer le fonctionnement de l'opération nationale de dépistage, la GGD a recruté rapidement des milliers d'agents de centre d'appels — dont beaucoup ont obtenu un large accès à ces systèmes avec un contrôle limité et une surveillance faible.

En décembre 2020, des journalistes de RTL Nieuws ont découvert que des données personnelles provenant clairement des systèmes de la GGD étaient proposées à la vente sur Telegram, Snapchat et Wickr. Les vendeurs proposaient des fiches individuelles — noms, adresses, courriels, numéros de téléphone, dates de naissance et le BSN (Burgerservicenummer), l'équivalent néerlandais d'un numéro de sécurité sociale — pour environ 30 à 60 € par personne, des jeux de données en masse portant sur des milliers de citoyens étant vendus pour plusieurs milliers d'euros.

Impact

  • Les champs exposés, en particulier le BSN, sont exactement ce qui est nécessaire pour l'usurpation d'identité et la fraude, rendant la violation particulièrement dangereuse malgré l'absence de « piratage » technique.
  • La police néerlandaise a arrêté deux employés du centre d'appels de la GGD le 23 janvier 2021, suivis d'un troisième suspect quelques jours plus tard.
  • Le scandale a déclenché un examen parlementaire d'urgence et a contraint la GGD à reconnaître que la fuite durait depuis des mois avant d'être détectée.
  • La GGD a fait appel à Fox-IT pour analyser les journaux de CoronIT et surveiller ceux de GGD GHOR jusqu'à la mise en service d'une surveillance automatisée et continue à la fin mars 2021.

Pourquoi c'est important

L'affaire GGD est un cas d'école de menace interne et de défaillance de la gouvernance des accès. La violation n'a nécessité aucun logiciel malveillant ni aucune vulnérabilité logicielle — seulement un accès trop large, une journalisation insuffisante et l'absence de surveillance en temps réel au sein d'un effectif déployé en urgence. Elle a souligné que les systèmes de l'ère pandémique, construits et dotés en personnel sous une pression temporelle extrême, concentraient des données nationales très sensibles sans contrôles proportionnés. L'incident est devenu une référence dans les débats néerlandais sur la gouvernance des données de santé, les risques de confidentialité liés au BSN et la nécessité d'un accès au moindre privilège et d'une journalisation d'audit continue dans les systèmes publics critiques.

Chronologie

  1. Des journalistes de RTL Nieuws découvrent que des données personnelles de la GGD sont proposées à la vente sur les messageries Telegram, Snapchat et Wickr.

  2. RTL Nieuws révèle publiquement le commerce illégal de données COVID-19 de la GGD, déclenchant une enquête.

  3. Deux employés du centre d'appels de la GGD sont arrêtés, soupçonnés d'avoir volé et vendu les données de citoyens.

  4. Un troisième suspect est arrêté à mesure que l'enquête policière s'élargit.

  5. Des rapports indiquent que la fuite de données existait depuis des mois en raison de contrôles d'accès et d'une surveillance déficients.

  6. La GGD, assistée par Fox-IT, met en place une surveillance automatisée et continue des journaux du système CoronIT.

Sources

  1. computerweekly.comhttps://www.computerweekly.com/news/252495983/Data-of-thousands-of-Dutch-citizens-leaked-from-government-Covid-19-systems
  2. healthcareinfosecurity.comhttps://www.healthcareinfosecurity.com/2-arrested-for-alleged-theft-covid-19-patient-data-a-15856
  3. schneier.comhttps://www.schneier.com/blog/archives/2021/01/dutch-insider-attack-on-covid-19-data.html
  4. nltimes.nlhttps://nltimes.nl/2021/01/28/private-data-leak-ggd-covid-system-existed-months-report

Incidents liés

RançongicielRésolu

Cyberattaque du système de santé de Terre-Neuve-et-Labrador

Une attaque par rançongiciel Hive contre le réseau de soins de santé de Terre-Neuve-et-Labrador a paralysé les systèmes informatiques à l'échelle de la province, forçant l'annulation de milliers de rendez-vous et d'interventions dans ce que les responsables ont qualifié de pire cyberattaque de l'histoire du Canada.

Victim
Newfoundland and Labrador Centre for Health Information / Eastern Health
RançongicielContenu

Rançongiciel Conti contre HSE Irlande — arrêt national du système de santé (2021)

Les opérateurs de Conti ont piégé un utilisateur du HSE pour qu'il télécharge une pièce jointe Excel malveillante ; le rançongiciel qui en a résulté a contraint le Health Service Executive à arrêter tous les systèmes informatiques de santé en Irlande et a exfiltré 700 Go de données, dont des informations médicales sur la vaccination COVID-19. Le coût de la remise en état a dépassé 100 millions d'euros.

Victim
Service de santé exécutif (HSE) d'Irlande
Loss
$110.0M