Amende CNIL : 1,5 million d’euros à l’éditeur de logiciel Dedalus

Posted On 22 Avr 2022

Février 2021, ZATAZ révélait la découverte de centaines de milliers d’informations de patients français commercialisés, puis diffusés gratuitement par des pirates informatiques. Un an plus tard, la CNIL sanctionne l’entreprise fuiteuse à 1,5 millions d’euro d’amende. Pendant ce temps, les données courent toujours !

Le 15 avril 2022, la formation restreinte de la CNIL a sanctionné la société DEDALUS BIOLOGIE d’une amende de 1,5 million d’euros, notamment pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes.

Une affaire qui a débuté voilà 1 an.

25 janvier 2021, ZATAZ révélait la découverte d’un business pirate mettant en jeu près de 500.000 données de patients français. Je vous expliquais à l’époque comment des pirates s’étaient disputés la commercialisation de données volées. L’un d’eux, du nom de Maître des datas (sic!) s’était vengé de ces anciens camarades en diffusant gratuitement certains fichiers, dont les données de santé en question. Des données qui seront diffusées sur plusieurs sites pirates : Russe, Portugais et Anglophone.

Le journal Libération va m’aider à retrouver le fuiteur un mois plus tard.

Trois exemples de diffusions pirates différentes de la base de données des 500.000 patients français.

Dès le 24 février 2021, la CNIL a effectué plusieurs contrôles, notamment auprès de la société DEDALUS BIOLOGIE qui commercialise des solutions logicielles pour des laboratoires d’analyse médicale. Le gendarme de la vie privée faisait bloquer, dans la foulée, le lien qui permettait de télécharger le fichier malveillant. Un blocage qui ne visait pas que le lien de téléchargement, mais l’intégralité du site qui hébergeait le fichier. J’appellerai ce lieu de stockage SQL.

Un détail « rigolo« . Il était possible de reconnaitre les « pirates » français dans certains forums de voyous 2.0. Ils se plaignaient de ne pas pouvoir télécharger des fichiers hébergés par SQL. Et pour cause donc 🙂

Le 15 avril, la CNIL condamnait l’entreprise pour la gravité des manquements retenus : un manquement à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement (article 29 du RGPD) ; manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) ; manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD).

Une affaire qui ne finira jamais pour les 500.000 français et leurs données volées. Je vous révélais fin janvier 2022 comment le Service Veille ZATAZ avait repéré cette base de données dans les mains de nouveaux pirates. Ces derniers s’en servaient comme échantillon pour vanter leur blackmarket !

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.