Violation de données LifeLabs

Le plus grand laboratoire d'analyses médicales du Canada a révélé que des attaquants avaient accédé aux données de santé d'environ 15 millions de clients, a payé une rançon non divulguée pour récupérer les dossiers volés, et a ensuite été reconnu par les autorités de protection de la vie privée comme ayant manqué à son obligation de protéger ces informations.

Le 17 décembre 2019, LifeLabs — le plus grand fournisseur d'analyses de laboratoire et de diagnostic au Canada — a révélé que des cyberattaquants avaient pénétré ses systèmes et accédé aux informations personnelles et de santé d'environ 15 millions de clients, la grande majorité d'entre eux résidant en Ontario et en Colombie-Britannique. Il s'agit de l'une des plus importantes violations de données de santé de l'histoire canadienne.

Ce qui s'est passé

LifeLabs a détecté l'accès non autorisé le 28 octobre 2019 et a averti les commissaires à la protection de la vie privée de l'Ontario et de la Colombie-Britannique le 1er novembre. Plutôt que de divulguer l'incident immédiatement, l'entreprise a passé plusieurs semaines à travailler avec des experts externes en cybersécurité et en négociation de rançons. Elle a finalement payé une rançon non divulguée pour récupérer les données extraites par les attaquants, avant de rendre l'affaire publique à la mi-décembre.

Les systèmes compromis contenaient un vaste ensemble de champs : noms, adresses, adresses courriel, identifiants et mots de passe, dates de naissance, numéros de carte santé et résultats d'analyses de laboratoire des clients. Pour environ 85 000 clients, des résultats d'analyses de 2016 ou antérieurs ont été directement exposés. L'identité des attaquants n'a jamais été établie publiquement, et les entreprises spécialisées en criminalistique n'ont rapporté aucune preuve d'une publication ou d'une vente ultérieure des données volées.

Conclusions réglementaires

En juin 2020, les commissaires à l'information et à la protection de la vie privée de l'Ontario et de la Colombie-Britannique ont publié un rapport d'enquête conjoint concluant que LifeLabs avait manqué à son obligation de prendre des mesures raisonnables pour protéger les renseignements personnels sur la santé, en violation de la Loi sur la protection des renseignements personnels sur la santé de l'Ontario et de la Personal Information Protection Act de la Colombie-Britannique. Les autorités ont constaté des lacunes systémiques dans la posture de sécurité de l'information de LifeLabs.

LifeLabs s'est battue pendant des années pour garder le rapport confidentiel, faisant valoir que certaines parties étaient protégées par le secret professionnel de l'avocat. Elle a perdu cette bataille, et le rapport complet a été publié en novembre 2024 — plus de quatre ans après sa rédaction — confirmant l'ampleur des défaillances de sécurité.

Impact

Environ 15 millions de clients ont vu leurs données personnelles et de santé consultées, principalement en Ontario et en Colombie-Britannique.
LifeLabs a payé une rançon d'un montant non divulgué pour récupérer les données.
Un recours collectif a été réglé pour un montant pouvant atteindre 9,8 millions de dollars canadiens ; en raison du volume élevé de réclamations, les demandeurs n'ont finalement reçu que quelques dollars chacun.
L'entreprise a offert aux clients touchés une surveillance gratuite du crédit et une protection contre le vol d'identité.

Pourquoi c'est important

La violation de LifeLabs est une étude de cas déterminante au Canada sur l'éthique et les conséquences du paiement de rançons pour protéger des données de santé sensibles, et sur les limites de la transparence des entreprises. La bataille de plusieurs années pour supprimer le rapport des autorités — finalement infructueuse — a renforcé le principe selon lequel les organisations détenant des données de santé doivent au public une reddition de comptes complète lorsque cette confiance est trahie, et elle a nourri les débats ultérieurs sur les délais obligatoires de divulgation des violations dans le droit canadien de la protection de la vie privée.

Chronologie

28 octobre 2019

LifeLabs détecte un accès non autorisé à ses systèmes d'information contenant des données clients.

1 novembre 2019

LifeLabs signale l'incident aux commissaires à la protection de la vie privée de l'Ontario et de la Colombie-Britannique.

17 décembre 2019

LifeLabs rend la violation publique, touchant environ 15 millions de clients, et confirme avoir payé une rançon pour récupérer les données.

25 juin 2020

Les commissaires de l'Ontario et de la Colombie-Britannique publient un rapport d'enquête conjoint concluant que LifeLabs a manqué à son obligation de protéger les renseignements personnels sur la santé.

1 octobre 2023

La Cour supérieure de justice de l'Ontario approuve un règlement de recours collectif d'une valeur pouvant atteindre 9,8 millions de dollars canadiens.

29 novembre 2024

Le rapport d'enquête de 2020, longtemps tenu secret, est publié intégralement après que LifeLabs a perdu une bataille juridique de quatre ans pour le garder confidentiel.

Sources

ipc.on.cahttps://www.ipc.on.ca/en/media-centre/news-releases/commissioners-publish-2020-investigation-report-lifelabs-privacy-breach-affecting-millions-canadians

thehackernews.comhttps://thehackernews.com/2019/12/lifelabs-data-breach.html

cbc.cahttps://www.cbc.ca/news/canada/british-columbia/lifelabs-cyberattack-15-million-1.5399577

cbc.cahttps://www.cbc.ca/news/canada/british-columbia/lifelabs-data-breach-report-1.7393107

globalnews.cahttps://globalnews.ca/news/10396877/lifelabs-class-action-settlement-canada/

Incidents liés

RançongicielRésolu18 décembre 2022

Attaque par rançongiciel de l'hôpital SickKids

L'Hôpital pour enfants malades de Toronto a été frappé par une attaque par rançongiciel durant les fêtes de décembre 2022, retardant les résultats de laboratoire et d'imagerie ; fait rare, le gang LockBit a présenté ses excuses, a blâmé un affilié rebelle et a fourni un déchiffreur gratuit.

Victim: The Hospital for Sick Children (SickKids)

RançongicielRésolu30 octobre 2021

Cyberattaque du système de santé de Terre-Neuve-et-Labrador

Une attaque par rançongiciel Hive contre le réseau de soins de santé de Terre-Neuve-et-Labrador a paralysé les systèmes informatiques à l'échelle de la province, forçant l'annulation de milliers de rendez-vous et d'interventions dans ce que les responsables ont qualifié de pire cyberattaque de l'histoire du Canada.

Victim: Newfoundland and Labrador Centre for Health Information / Eastern Health

RançongicielEn cours21 avril 2026

Sterimed : des fichiers internes publiés après une cyberattaque

Le 21 avril 2026, le fabricant français d'emballages médicaux Sterimed a été revendiqué par le groupe de rançongiciel Qilin, qui a publié des fichiers internes — documents techniques, données de projets, dossiers RH, éléments de sécurité informatique et sauvegardes système — sur son site de fuite.

Victim: Sterimed

RançongicielContenu6 avril 2026

YMED (SOONCARE) : 253 000 patients exposés, 132 Go de données médicales exfiltrés

Le 6 avril 2026, l’éditeur de logiciels de santé bordelais YMED, qui exploite la plateforme de rendez-vous SOONCARE®, a subi une attaque par extorsion revendiquée par le groupe XP95, qui a exfiltré 132 Go de données concernant 253 342 patients et plus de 431 000 fichiers médicaux.

Victim: YMED (SOONCARE)
Records: 253.3K