Une importante fuite de données attribuée au SSTRN (Service de prévention et de santé au travail de la région nantaise) a été publiée sur un forum cybercriminel par les 2 hackers les plus actifs en ce moment Misere et ChimeraZ. Selon les éléments diffusés, l’incident résulterait d’une faille de type IDOR (Insecure Direct Object Reference), permettant l’accès à des informations sans privilèges particuliers via des identifiants séquentiels.
Le SSTRN est le principal service de prévention et de santé au travail du bassin nantais. Créé en 1942, il accompagne plus de 25 000 entreprises et assure le suivi de santé de plus de 300 000 salariés du secteur privé en Loire-Atlantique.
Une fuite touchant entreprises et salariés
Les fichiers publiés regroupent plusieurs exports distincts liés au fonctionnement du service de santé au travail. Les auteurs de la publication affirment avoir obtenu :
- 735 000 enregistrements de contacts d’entreprises ;
- 309 000 fiches de responsables et interlocuteurs RH ;
- 632 000 rendez-vous de médecine du travail ;
- 84 431 organisations concernées ;
- 355 112 personnes disposant d’un historique de rendez-vous ;
- 72 197 numéros de téléphone uniques ;
- 62 545 adresses e-mail uniques.
Les données couvriraient une période allant de 2020 à 2026.
Des rendez-vous médicaux professionnels exposés
Les échantillons diffusés révèlent notamment des informations liées au suivi individuel des salariés dans le cadre de la médecine du travail.
- Nom et prénom des salariés ;
- Dates des rendez-vous ;
- Centres médicaux concernés ;
- Type de visite réalisée ;
- Statut de présence ou d’absence ;
- Historique de suivi médical professionnel ;
- Coordonnées des interlocuteurs RH ;
- Informations sur les entreprises adhérentes.
Les rendez-vous mentionnés concernent notamment les visites d’information et de prévention, les visites périodiques, les examens de reprise après arrêt de travail, les visites de pré-embauche ou encore les consultations demandées par l’employeur ou le médecin du travail.
Des données de santé indirectement révélées
Même si les échantillons ne contiennent pas de dossiers médicaux ou de diagnostics, la nature des rendez-vous et leur historique constituent déjà des informations particulièrement sensibles.
La simple présence d’un salarié dans certains parcours de suivi peut révéler des situations liées à la santé au travail, à un arrêt prolongé, à une reprise d’activité ou à une surveillance médicale spécifique. Ces informations bénéficient d’une protection renforcée au regard du RGPD.
Les services RH également concernés
Les exports publiés contiennent également les coordonnées de nombreux responsables RH, responsables de convocation et interlocuteurs de sièges sociaux. Les adresses e-mail professionnelles et numéros de téléphone de ces contacts apparaissent dans les échantillons diffusés.
Cette partie de la fuite pourrait faciliter des campagnes de phishing ciblées visant les entreprises adhérentes du SSTRN, en exploitant la confiance accordée aux échanges liés à la santé au travail et aux convocations médicales.
Une faille qui aurait permis un accès massif aux données
Selon la revendication, l’accès aux informations aurait été rendu possible par une combinaison de défauts de sécurité : absence de limitation des requêtes, identifiants numériques prévisibles et contrôles d’accès insuffisants. Ce type de vulnérabilité, connu sous le nom d’IDOR, permet à un utilisateur authentifié d’accéder à des données qui ne devraient pas lui être accessibles simplement en modifiant un identifiant dans les requêtes.
Si cette origine venait à être confirmée, l’incident soulèverait des questions importantes concernant la protection des données traitées par les services de prévention et de santé au travail, qui manipulent quotidiennement des informations particulièrement sensibles concernant les salariés et les entreprises. À ce stade, aucune communication officielle du SSTRN concernant cette revendication n’a été identifiée.