Une fuite de données de l’administration chypriote turque expose des dossiers médicaux sur le dark web
Les points importants
- Fuite massive : Plus de 364 000 dossiers médicaux, dont ceux de 202 nationalités, ont été exposés sur le dark web.Manque de moyens : Le ministre des Transports admet une possible fuite et indique que l'administration manque de personnel technique pour y répondre.Critiques politiques : L'opposition et les syndicats médicaux demandent une enquête indépendante et dénoncent l'absence de stratégie nationale de cybersécurité.
Les dossiers personnels et médicaux de plus de 364 000 personnes enregistrées dans le système de santé public de la République turque de Chypre-Nord (KKTC) ont été exposés sur le dark web, selon le journal chypriote turc Yenidüzen.
Chypre est divisée depuis 1974, lorsqu’une intervention militaire turque a suivi un coup d’État à Nicosie soutenu par la junte militaire grecque de l’époque. La KKTC, proclamée en 1983, n’est reconnue que par la Turquie.
La fuite concerne les données détenues par le ministère de la Santé de l’administration chypriote turque et inclut aussi bien des citoyens que des ressortissants étrangers ayant reçu des soins à Chypre-Nord. Des experts en cybersécurité basés aux Pays-Bas ont déclaré avoir vérifié l’authenticité des fichiers divulgués et ont décrit l’incident comme l’une des plus grandes fuites de données connues dans le territoire. Ils ont averti que les informations pourraient être utilisées pour l’usurpation d’identité, la fraude, le chantage et le harcèlement.
La base de données contiendrait des enregistrements de personnes de 202 nationalités et 340 000 enregistrements suggèrent que la fuite dépasse les seuls Chypriotes turcs pour inclure des milliers de ressortissants étrangers, dont des citoyens turcs qui ont utilisé le système de santé du territoire.
Les pirates ont également affirmé détenir une base de données distincte contenant des informations sur des personnes diagnostiquées avec le VIH/SIDA, bien que cette affirmation n’ait pas été vérifiée de manière indépendante. Ils ont également allégué avoir obtenu les enregistrements d’entrée et de sortie d’environ 340 000 personnes ayant voyagé à Chypre-Nord.
Le ministre des Transports, Erhan Arıklı, a reconnu que les allégations pourraient être vraies et a déclaré que l’Autorité des technologies de l’information et des communications enquêtait sur l’incident.
« C’est une allégation. Nous enquêtons. Est-ce possible ? Oui, cela l’est », a déclaré Arıklı.
Il a ajouté que les institutions gouvernementales avaient déjà été ciblées par des cyberattaques et a reconnu que l’administration manquait de personnel technique suffisant pour répondre efficacement. Arıklı a indiqué que les responsables avaient demandé une assistance en cybersécurité à la Turquie et avaient commencé à mettre en place une nouvelle unité de défense cybernétique.
Bien que les responsables aient initialement déclaré n’avoir trouvé aucune preuve de fuite, Yenidüzen a ensuite publié des captures d’écran d’un forum du dark web montrant des pirates faisant la publicité des données volées.
Dans le message les attaquants se sont identifiés par des pseudonymes et ont revendiqué la responsabilité de la fuite de la base de données sanitaires de la KKTC.
Les pirates ont déclaré que la base de données contenait environ 340 000 enregistrements avec des informations personnelles, y compris les noms, numéros d’identité, lieux de naissance, adresses et détails familiaux. Le message affirmait également que le groupe avait obtenu des données sur des personnes diagnostiquées avec le VIH/SIDA mais avait choisi de ne pas les publier.
La Chambre des ingénieurs informaticiens a appelé à une enquête indépendante, déclarant que l’incident devait être traité comme une question de sécurité publique et de sécurité nationale plutôt que comme un simple problème informatique. L’organisation a également critiqué l’échec à mettre en œuvre une stratégie nationale de cybersécurité longtemps discutée ainsi que des centres de surveillance, arguant que des faiblesses institutionnelles avaient laissé les systèmes publics vulnérables aux cyberattaques.
L’Association médicale turque de Chypre a averti que, si elle était confirmée, cette fuite serait la plus grande fuite de données dans l’histoire du territoire.
La présidente de l’association, Özlem Gürkut, a déclaré que la confiance du public ne pourrait pas être rétablie si les informations personnelles les plus sensibles des citoyens étaient laissées sans protection. Elle a demandé au gouvernement de révéler quand la fuite a été détectée pour la première fois, si des données biométriques ont également été compromises et qui serait tenu responsable.
Le principal parti d’opposition chypriote turc, le Parti républicain turc (CTP), a accusé le gouvernement de ne pas protéger les systèmes d’État. La leader du CTP, Sıla Usar İncirli, a déclaré que les pirates opéraient efficacement à l’intérieur des réseaux gouvernementaux sans être détectés et s’est demandé si les responsables savaient qui contrôlait les données personnelles des citoyens.
Le député du CTP, Ürün Solyalı, a déclaré que les cyberattaques étaient une réalité inévitable à l’ère numérique, mais a soutenu que les gouvernements étaient responsables de la mise en place de défenses adéquates. Il a accusé l’administration de laisser les institutions responsables des services d’administration électronique et de la protection des données personnelles sans financement, personnel ou réglementation juridique suffisants.
La base de données divulguée est apparue pour la première fois sur un forum du dark web le 8 janvier et est restée accessible publiquement pendant des mois avant que la fuite ne soit portée à l’attention du public. Les politiciens de l’opposition se sont demandé pourquoi le public n’avait pas été informé plus tôt si les données étaient disponibles en ligne depuis près de six mois.
La fuite soulève également des questions sur la sécurité de l’infrastructure gouvernementale numérique de l’administration chypriote turque soutenue par la Turquie. Le portail d’administration électronique de la KKTC est officiellement exploité par l’Autorité de transformation numérique et d’administration électronique du Premier ministre, tandis que Türksat, détenue par l’État turc, a joué un rôle central dans la construction et l’intégration du système, y compris les services de santé électronique.
Le cas chypriote turc ajoute une dimension transfrontalière aux critiques selon lesquelles la Turquie et les institutions qui lui sont liées n’ont pas protégé les données personnelles. En septembre 2024, le Centre national de réponse aux incidents cybernétiques (USOM) de la Turquie aurait découvert que des pirates avaient téléchargé une base de données contenant les informations personnelles de plus de 108 millions de citoyens turcs, y compris des personnes décédées, sur Google Drive, exposant les numéros d’identité nationaux, adresses, numéros de téléphone et autres enregistrements.
La colère du public concernant le bilan de la Turquie en matière de sécurité des données s’est encore accrue après que « Panel », un documentaire publié par le média stambouliote 140journos, a allégué que des pirates avaient exploité des failles dans les bases de données gouvernementales de santé pour accéder aux dossiers médicaux, aux informations d’identité et aux numéros de téléphone de millions de personnes. Le documentaire prétendait que certaines informations volées avaient ensuite été vendues sur des marchés en ligne souterrains.
Cet article a été traduit de sa version originale depuis le site Turkish Minute.
Et vous, qu'en pensez-vous ?




