Passer au contenu

Les pirates de Rex Mundi diffusent les données médicales de 15.000 Français

Dernière victime de ce groupe qui frappe depuis des années : le labo d’analyse de sang Labio. Les pirates lui réclamaient 20.000 euros pour leur silence. Face au refus de payer, ils ont commencé à diffuser les données volées dans le Darknet.

Les maîtres-chanteurs ont mis leur menace  à exécution: 265 pages Word, regroupant les données de 15.352 identités de patients du laboratoire de santé français Labio, ont été diffusées par le groupe de pirates Rex Mundi. Celui-ci réclamait 20.000€ contre son silence. Mais l’organisme n’a pas payé. Depuis mardi 17 mars 18 heures – l’échéance donnée par les escrocs – il s’est donc retrouvé affiché avec d’autres victimes (Accord NL, Numéricable Belgique, …). Les données ont été mises en ligne dans le Darknet, un moyen pour les escrocs de ne pas être remonté facilement par les forces de l’ordre. Une annonce a également été faite sur Twitter. Parmi les informations volées, on retrouve les identités et les mots de passe de 15.352 patients, ainsi que 16 dossiers médicaux. Et ce n’est pas prêt d’être fini : le groupe annonce qu’il va publier chaque jour de nouvelles informations, histoire de faire durer le supplice.

Liste de mots de passe
Liste de mots de passe
Extrait de résultats d'analyse médicale
Extrait de résultats d’analyse médicale

Un mystérieux groupe de pirates

Mais qui se cache derrière Rex Mundi? Depuis plusieurs mois, ces cybercriminels s’attaquent aux entreprises Belges et Suisses. Ces maîtres chanteurs sont devenus les rois de l’extorsion en s’infiltrant dans les réseaux d’entreprises pour y voler des informations sensibles. Objectif : échanger ensuite ces secrets volés contre de l’argent extorqué à ses victimes, en menaçant de les divulguer si elles ne paient pas. « Nous piratons pour le fun, pour les sensations et plus important, pour l’argent » expliquent ces pirates sans vergogne.

Personne ne sait véritablement combien de pirates se cachent derrière Rex Mundi. Contacté par la rédaction de 01net, le groupe n’est pas très prolixe quant à son organisation. Il faut dire que plusieurs polices européennes sont à ses trousses depuis bientôt deux ans. Ils sont par exemple les cybercriminels les plus recherchés de Belgique, accusés d’extorsion d’argent à l’encontre du groupe Domino Pizza, Thomas Cook, Tobasco, la société de crédit Finalease ou encore de plusieurs agences d’intérim. Ils sont également fait mal en Suisse, en s’attaquant il y a quelques semaines à une banque de Genève.

Un précédent en France

Mais depuis quelques jours, Rex Mundi vise à nouveau la France. Il avait déjà fait un galop d’essai il y a quelques années avec une société de prêt, CrediPret. Et vendredi dernier, il a tapé beaucoup plus fort en mettant à mal la sécurité d’un laboratoire d’analyse sanguin, Labio.fr, menaçant de diffuser, mardi 17 mars (à 16 heures), toutes les informations qu’ils ont pu collecter. Rex Mundi évoquait plusieurs centaines fichiers, au format PDF, comprenant des analyses de sang et l’identité des patients français concernés. Rex Mundi vient de prouver que sa menace était à prendre au sérieux.

La technique de Rex Mundi est particulièrement bien rodée : d’abord trouver des cibles qui manipulent des données de clients, de patients. Une fois la liste préparée, Rex Mundi cherche la faille qui donnera accès aux informations. Les vulnérabilités sont classiques : des injections SQL, ou tout simplement des données oubliées sur un serveur. 

Les escrocs envoient ensuite un courriel à l’entreprise pour lui expliquer son problème… Et en profite pour leur réclamer de l’argent contre son silence. Un ultimatum est même lancé. Si la société piratée ne paie pas, elle est jetée en pâture sur la toile. Rex Mundi s’est même installé une vitrine dans le darknet, via un site en .onion, accessible par le système d’anonymisation Tor. Une page qui lui permet de diffuser les données volées sans risque d’être repéré.

Double souci pour le laboratoire visé par le piratage

Dans le cas du labo français, 20.000 euros ont été réclamés. « Nous avons offert à Labio de ne pas libérer les données de leurs patients en échange d’un très raisonnable 20.000 EUR », expliquent les pirates dans un message posté sur le Web. « Malheureusement, jusqu’à présent, ils semblent préférer économiser un peu d’argent plutôt que de protéger la vie privée de leurs patients ». Pour parfaire sa menace, Rex Mundi avait déjà diffusé les identités des patients et la date des analyses qu’ils ont pu effectuer.

Autant dire que la méthode est plutôt pernicieuse. De son côté, le laboratoire répond que « suite à un problème technique, le serveur internet de résultats est temporairement indisponible. En cas d’urgence, merci de vous mettre en relation avec votre laboratoire qui a la possibilité de vous transférer vos résultats pas E-mail, fax ou courrier ». 

Ce hack pose un double problème pour le laboratoire : d’abord, une menace d’extorsion à laquelle il ne faut pas répondre de façon positive. Ne surtout pas payer. Cela conforterait les maîtres chanteurs à agir de plus belle. Mais du coup, il peut se heurter à la loi française. Il faut rappeler que les informations relatives à l’état de santé physique ou mentale d’un patient sont considérées comme des données très sensibles. La collecte de ses informations, l’utilisation, la communication, le stockage et la destruction sont soumis à des conditions définies par la loi Informatique et Libertés (art. 8, art. 34 et art. 35) et le Code de la santé publique, avec le secret médical par exemple (art. L.1110-4). Rex Mundi prouve que la sécurité des données, qui constitue un impératif, n’a pas été respectée.

En cas de plainte d’un patient, le responsable du laboratoire risque jusqu’à 5 ans d’emprisonnement et 300.000€ d’amende (art. 226-17 Code pénal). La violation du secret médical fait planer au dessus de la tête du voleur un an d’emprisonnement et 15.000€ d’amende. A cela se rajoute toute la panoplie des lois punissant les pirates, le détournement de données informatiques, etc. Encore faut-il qu’ils soient tracés et arrêtés. La rumeur voudrait que le groupe soit basé dans l’est de l’Europe… Mais rien est moins sûr !

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Damien Bancal, avec GK