Fuite de données et extorsion des patients de Vastaamo (Finlande, 2020)

Les dossiers d'environ 33 000 patients du prestataire finlandais de psychothérapie Vastaamo ont été dérobés en 2018 dans une base de données non chiffrée dépourvue de mot de passe root. Après l'échec de l'extorsion de l'entreprise en octobre 2020, l'attaquant a adressé des demandes de rançon directement à environ 30 000 patients. Le fondateur a finalement été acquitté ; Aleksanteri Kivimäki a été condamné à 6 ans et 3 mois de prison.

L'affaire Vastaamo est la plus grande affaire criminelle de l'histoire finlandaise et l'exemple le plus grave à ce jour d'extorsion de masse de patients individuels à la suite d'une fuite de données de santé. Les dossiers d'environ 33 000 patients — y compris les notes prises lors des séances de thérapie — ont été dérobés en 2018 dans une base de données sans chiffrement, dont le compte root n'avait pas de mot de passe. Après l'échec de l'extorsion de l'entreprise en octobre 2020, l'attaquant a envoyé par courriel des demandes de rançon directement aux patients.

Ce qui s'est passé

Vastaamo était un prestataire privé de psychothérapie exploitant des cliniques à travers la Finlande. En novembre 2018, un attaquant a accédé à la base de données patients. Les données étaient non chiffrées, le compte root du système n'avait aucun mot de passe. Les dossiers comprenaient des notes de thérapie détaillées — le type d'informations intimes et identifiantes que le traitement en santé mentale exige.

La fuite est passée inaperçue pendant deux ans. En septembre 2020, l'attaquant a contacté Vastaamo en exigeant 40 BTC (~450 000 €) et en menaçant de publier les données. Vastaamo n'a pas payé. Le 21 octobre 2020, l'entreprise a divulgué publiquement la fuite.

L'attaquant a alors fait une escalade inhabituelle. Plutôt que de divulguer les données, il a envoyé par courriel des demandes de rançon directement aux patients eux-mêmes — environ 30 000 tentatives d'extorsion individuelles — menaçant de publier les notes de thérapie de chaque personne. C'était une escalade d'un ordre de grandeur des tactiques d'extorsion de données de santé et a causé une détresse généralisée en Finlande.

Vastaamo s'est déclarée en faillite en février 2021. L'Autorité finlandaise de protection des données a infligé à l'entreprise une amende de 608 000 € pour violations du RGPD en décembre 2021. En octobre 2022, le Bureau national d'enquête finlandais a désigné Aleksanteri Kivimäki, 25 ans, comme suspect. En avril 2024, il a été reconnu coupable de la violation aggravée de données et de plus de 21 000 chefs d'extorsion, et condamné à 6 ans et 3 mois de prison.

L'affaire contre l'ancien PDG Ville Tapio pour la négligence sous-jacente liée au RGPD s'est terminée différemment : trois mois de prison avec sursis en première instance, puis un acquittement unanime en appel en décembre 2025.

Impact

Environ 33 000 patients ont eu leurs notes de thérapie et leurs données identifiantes dérobées.
Environ 30 000 courriels d'extorsion individuels envoyés directement aux patients.
Vastaamo en faillite ; amende RGPD de 608 000 €.
Aleksanteri Kivimäki condamné (plus de 21 000 chefs d'accusation) à 6 ans et 3 mois de prison.
Ancien PDG acquitté en appel.

Pourquoi cela compte

Vastaamo est l'affaire qui a changé la manière dont les régulateurs et les cliniciens conçoivent la protection des données de santé mentale. Le choix de l'attaquant d'extorquer des patients individuels — en menaçant de révéler ce qu'ils avaient confié à leur thérapeute — était une escalade délibérée des tactiques d'extorsion de données de santé. L'affaire pénale contre l'ancien PDG, même après acquittement, a été étudiée dans toute l'Europe comme un test de résistance des dispositions de responsabilité pénale individuelle du RGPD.

Chronologie

1 novembre 2018

La base de données patients de Vastaamo — non chiffrée, compte root sans mot de passe — est consultée et téléchargée. La fuite passe inaperçue pendant deux ans.

1 septembre 2020

L'attaquant contacte Vastaamo en exigeant 40 BTC (~450 000 €) et menace de publier les dossiers patients.

21 octobre 2020

Vastaamo divulgue publiquement la fuite : environ 33 000 dossiers patients dérobés, notes de thérapie comprises.

2020-10 — 2020-11

Après l'échec de l'extorsion au niveau de l'entreprise, l'attaquant envoie par courriel des demandes de rançon directement à environ 30 000 patients individuels, menaçant de publier leurs notes de thérapie.

1 février 2021

Vastaamo se déclare en faillite.

1 décembre 2021

L'Autorité finlandaise de protection des données inflige à Vastaamo une amende de 608 000 € pour violations du RGPD.

28 octobre 2022

Le Bureau national d'enquête finlandais désigne Aleksanteri Kivimäki, 25 ans, comme suspect.

1 avril 2023

L'ancien PDG Ville Tapio est condamné à trois mois de prison avec sursis pour les manquements criminels liés au RGPD.

30 avril 2024

Aleksanteri Kivimäki est reconnu coupable, notamment de violation aggravée de données et de plus de 21 000 chefs d'extorsion ; il est condamné à 6 ans et 3 mois de prison.

1 décembre 2025

La Cour d'appel d'Helsinki acquitte à l'unanimité l'ancien PDG Ville Tapio, estimant que les preuves de la négligence grave requise pour engager la responsabilité pénale sont insuffisantes.

Sources

en.wikipedia.orghttps://en.wikipedia.org/wiki/Vastaamo_data_breach

krebsonsecurity.comhttps://krebsonsecurity.com/2024/04/man-who-mass-extorted-psychotherapy-patients-gets-six-years/

therecord.mediahttps://therecord.media/finland-vastaamo-hacker-free-during-appeal-conviction

helsinkitimes.fihttps://www.helsinkitimes.fi/finland/finland-news/domestic/27889-kivimaeki-walks-free-during-appeal-over-vastaamo-data-breach.html

nelsonslaw.co.ukhttps://www.nelsonslaw.co.uk/when-confidentiality-fails-lessons-from-the-vastaamo-therapy-records-scandal/

Incidents liés

Fuite de donnéesInconnu21 avril 2026

Sterimed : des fichiers internes publiés après une cyberattaque

Le groupe STERIMED, spécialiste des emballages de stérilisation et solutions destinées au secteur médical, serait victime d’une cyberattaque avec fuite de

Victim: Sterimed

Fuite de donnéesInconnu16 avril 2026

Clinique de l’Yvette : une fuite des imageries médicales revendiqués

La Clinique de l'Yvette de Longjumeau serait visée par une cyberattaque, avec mise en ligne de données et revendication d’un accès administrateur par un

Victim: Clinique de l’Yvette

Fuite de donnéesInconnu5 avril 2026

Nosho : 133 000 utilisateurs compromis, une nouvelle fuite qui fragilise le secteur médical

À la suite de notre article publié le 5 avril 2026, la société Nosho a souhaité apporter plusieurs précisions sur l’incident : Une attaque sur notre base

Victim: Nosho

Fuite de donnéesContenu8 mars 2025

Fuite de données chez Yale New Haven Health (2025)

Une activité réseau suspecte chez Yale New Haven Health a conduit à la plus grande fuite de données de santé aux États-Unis en 2025 : 5,5 millions de patients ont vu leurs noms, coordonnées, dates de naissance, numéros de dossier médical et numéros de sécurité sociale dérobés. Le système de santé a ensuite accepté un règlement collectif de 18 millions de dollars.

Victim: Yale New Haven Health System
Loss: $18.0M
Records: 5.6M