Marak ne mettra pas ses menaces à exécution. C’est en tout cas ce qu’il nous a affirmé ce samedi matin dans un message envoyé à 6h31 sur la messagerie Telegram.
« Salut, j’aimerais juste vous informer que je ne compte plus vendre les données, et qu’elles ne seront jamais leak (publiées, NDLR) ou divulguées, seuls moi et un proche possédons la database, elle ne fuitera pas d’entre nous deux, pour rassurer certains patients. »
C’est un nouveau rebondissement, mais sans doute pas l’épilogue, d’une affaire qui secoue depuis plusieurs jours l’Hôpital privé de la Loire, à Saint-Étienne.
Numéros de téléphone et de Sécurité sociale
Marak, qui s’est présenté au cours de nos échanges comme un jeune homme « né en 2009 » et vivant « à Paris », a mis la main sur les dossiers de plus de 530 000 patients de la clinique du groupe Ramsay Santé en pénétrant son système informatique entre le 26 juin et le 1er juillet.
Dans ce lot de données, des numéros de téléphone, des adresses et, surtout, des numéros de Sécurité sociale et des reproductions de carte d’identité permettant à qui en dispose des usurpations d’identité et des falsifications diverses.
Une intrusion et un vol de datas sur lequel l’établissement a communiqué le mardi 8 juillet, avant d’en confirmer l’ampleur trois jours plus tard. Le jeune hacker accompagnait sa menace de publication d’un chantage envers le groupe Ramsay Santé, lequel n’aurait pas donné suite.
Reste que la révélation de ce piratage -qui semble être un record en la matière- a créé un vif émoi parmi tous ceux qui, un jour, ont été patients du HPL.
« Les témoignages m’ont grandement fait réfléchir »
Ce sont d’ailleurs ces réactions, selon lui, qui incitent aujourd’hui le jeune pirate à faire machine arrière. « Je suis tout simplement humain, les témoignages des patients m’ont fait grandement réfléchir sur ce que j’allais faire par la suite avec cette database », développe-t-il.
Il ne devrait donc pas exiger d’argent du Groupe Ramsay, pas plus qu’il ne vendra -entre 2 000 et 5 000 euros, « un acheteur, ça se trouve », estimait-il- ces données sur le darknet ; ce même darknet sur lequel il s’était procuré les identifiants d’un médecin qui lui ont permis de pénétrer les serveurs.
De toute façon, ce n’est semble-t-il pas uniquement l’argent qui a motivé ce jeune qui se dit issu d’une famille « qui vit normalement sans être aisée, mais qui ne galère pas non plus ».
La notion de défi et une part d’ego, que nous avions pu déceler au cours nos échanges avec Marak, se confirment. Car il l’admet, après ce piratage et l’ampleur qu’a pris l’affaire, il ressent « forcément de la fierté de voir que mes compétences m’ont permis de réaliser ceci ».
Et de reconnaître toutefois qu’il a lui-même été dépassé par les événements : « Je ne m’attendais pas à une telle ampleur pour un simple hôpital, plus particulièrement lorsque l’on affirme que c’est la plus grande cyberattaque envers un hôpital de l’histoire en France. »
L’enquête ne s’arrêtera pas pour autant
Mais qu’il décide ou non de publier ou de vendre ces dizaines de milliers de fichiers, cela ne change rien pénalement. Le délit est constitué et, selon la loi, les sanctions sont lourdes.
« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 100 000 euros d’amende. Lorsque l’infraction a été commise à l’encontre d’un système de traitement mis en œuvre par l’État, la peine peut monter à sept ans de prison et 150 000 euros d’amende. Lorsqu’une rançon est demandée à l’établissement visé, la qualification d’extorsion qui est passible de sept ans de prison et 100 000 euros d’amende », détaille l’article 323-1 du Code pénal.
À ceci près, et ce n’est pas un détail, que si Marak, comme il l’affirme et comme la teneur de nos échanges avec lui le laissent penser, est mineur, il ne pourrait se voir infliger de telles peines.
Une éventualité qui, de toute façon, n’a pas motivé le renoncement du jeune homme, convaincu de n’avoir laissé aucune trace permettant de l’identifier.
L’avenir le dira. Car l’enquête menée par l’Office anti-cybercriminalité, section spécifique du parquet de Paris, ne s’arrêtera pas pour autant.