/investigations/health
Navigation

Des données médicales piratées

60 000 Canadiens qui faisaient affaire avec Medisys touchés par une cyberattaque

GEN-MEDISYS
Photo d'archives, Agence QMI

Coup d'oeil sur cet article

Une entreprise qui détient des renseignements médicaux sur des milliers de Québécois a payé une rançon à des pirates informatiques pour récupérer les données qu’ils ont compromises.

Le Groupe Santé Medisys inc. a subi une attaque au rançongiciel touchant 60 000 patients, soit 5 % de sa clientèle. Cette filiale de Telus fournit des services médicaux privés aux grands employeurs.

Les données compromises incluent non seulement les coordonnées de clients et leur âge, mais aussi leurs numéros d’assurance maladie, des données sur leurs assurances privées, des résultats de tests médicaux, des rapports de consultation et des renseignements sur leurs prescriptions.

Dans un communiqué, la firme dit avoir déposé une plainte à la Gendarmerie royale du Canada (GRC) et commencé à contacter les patients touchés.

La porte-parole de Medisys Mariane St-Maurice a ignoré notre demande d’entrevue. Par courriel, elle n’a pas précisé combien de Québécois sont touchés. Telus n’a pas répondu à nos questions.

Contrats publics

Depuis 2012, l’entreprise a remporté pour plus de 5,4 M$ en contrats publics au Québec. Ils concernent surtout des services de médecins agissant comme experts en cas de litiges liés à des congés de maladie.

C’est le cas par exemple d’un contrat de 723 840 $ conclu l’an dernier avec le Centre intégré de santé et de services sociaux de la Montérégie-Est, sans appel d’offres.

En 2018, la Sûreté du Québec a aussi signé un contrat de gré à gré de 630 515 $ avec Medisys pour du personnel médical agissant à titre d’experts lors d’enquêtes ou de procès.

La firme a aussi décroché pour plus de 4,1 M$ en contrats fédéraux depuis 2010, dont un contrat de 435 000 $ avec la GRC pour des évaluations de santé.

Rançon payée

La compagnie veut se faire rassurante : en payant une rançon, le risque de divulgation des données serait « faible », lui auraient assuré les experts qu’elle a consultés.

L’entreprise n’a aucun moyen de s’assurer que les données ne se retrouveront pas un jour sur le web, pense au contraire un analyste des cybermenaces pour la firme d’antivirus Emsisoft, Brett Callow.

« Les compagnies payent pour une promesse sur l’honneur de détruire les données volées, dit-il. Et cette promesse vient de criminels. Pourquoi les détruiraient-ils s’ils peuvent les réutiliser un jour pour en tirer profit ? »

Dans son communiqué, la firme explique avoir découvert l’attaque dès le 31 août, un mois avant d’avertir le public.

« L’approche retenue comprenait la collaboration avec des experts reconnus à l’échelle internationale en cybersécurité et en criminalistique, explique-t-elle. Ces derniers ont pris le temps et consacré les efforts nécessaires pour nous brosser un portrait complet de la situation. »


Si vous avez de l’information sur ce piratage, contactez notre journaliste à hjoncas@protonmail.com ou au 438 396-5546 (cellulaire, signal).