Plus d'un an après son arrestation en France, Aleksanteri Kivimäki vient d'être condamné à 6 ans et 3 mois de prison pour avoir piraté plus de 20 000 dossiers de patients de la clinique de soins psychothérapiques Vastaamo, située à Helsinki (Finlande). Par la suite, il avait également tenté de rançonner le centre ainsi que les patients.
Saviez-vous que la Finlande était en 2023 le pays le plus heureux du monde, désigné par le très sérieux World Happiness Report ? Peut-être. Mais peut-être également ignoriez-vous qu'elle a connu en 2018 la plus grande cyberattaque de son histoire ? Eh oui, la Finlande cache bien son jeu et ne fait pas que des prouesses environnementales, comme ses batteries de sable ou gravitaires.
Elle héberge également un cyberpirate de haute voltige qui, à lui tout seul, a non seulement tenté de rançonner plus de 20 000 patients d'un centre de soin situé à Helsinki, mais également le centre lui-même, profitant de l'absence de mesures de protection et de mise en sécurité des données des patients, dont on sait qu'elles attirent les cyberpirates. Au terme de 6 ans de cavale, Aleksanteri Julius Kivimäki, qui s'était enfui en France, a été arrêté le 3 février 2023, extradé en Finlande le 24 février et jugé en mars 2024. Verdict : 6 ans et 3 mois de prison.
Vastaamo, la plus grande cyberattaque de l'histoire de la Finlande qui mène à l'arrestation d'un hacker en France en 2023
Tout commence à Helsinki, en Finlande. Nous sommes en 2020, et Vastaamo, prestataire privé de soins en psychothérapie, révèle avoir subi ce qui sera considéré comme la plus grande cyberattaque du pays. Un ou des pirates ont en effet accédé à la base de données des patients de la clinique en novembre 2018 et mars 2019. Ils ont obtenu des informations privées et ont tenté d'extorquer Vastaamo et ses patients. Les pirates ont exigé 40 bitcoins, soit environ 450 000 euros à l'époque, et ont menacé de publier les dossiers s'ils n'étaient pas payés.
La tentative d'extorsion de l'entreprise ayant échoué, les pirates ont alors envoyé des e-mails aux patients dont ils avaient obtenu les données, exigeant qu'ils paient des rançons pour éviter la publication de leurs données personnelles sensibles. Ces demandes de rançon ont été envoyées à environ 30 000 victimes.
Les pratiques de sécurité de l'entreprise ont été jugées insuffisantes : les données sensibles n'étaient pas chiffrées et anonymisées. En décembre 2021, l'Autorité finlandaise de protection des données a infligé une amende de 608 000 euros à Vastaamo pour violation des dispositions du Règlement général sur la protection des données (RGPD).
Finalement, ce ne sont pas des, mais un seul suspect derrière l'attaque qui a été identifié comme étant Aleksanteri Julius Kivimäki, 26 ans. Il a été arrêté en France le 3 février 2023 et a été extradé en Finlande le 24 février 2024, où s'ouvrait son procès.
Des milliers de plaintes consécutives à la cyberattaque qui ont fait bondir le taux de criminalité en Finlande
Aleksanteri Julius Kivimäki, 26 ans, a en effet été identifié comme le principal suspect derrière la cyberattaque contre Vastaamo. Il a été accusé de plusieurs crimes liés à cette attaque, notamment une violation aggravée des données, près de 9 600 cas de violation aggravée de la vie privée liés à la diffusion d'informations, plus de 21 300 tentatives d'extorsion aggravée et 20 cas de chantage aggravé.
À la suite de ces accusations, environ 24 000 personnes ont déposé des plaintes pénales auprès de la police, ce qui a fait de cette affaire le plus grand cas criminel de l'histoire de la Finlande. De plus, Aleksanteri Kivimäki fait face à plus de 5 000 demandes d'indemnisation à ce jour.
Un nombre record de plaintes pour une seule affaire qui a fait décoller le taux de criminalité en Finlande. Celui-ci a effectivement doublé après cette accusation.
Il faut dire que le piratage de Vastaamo a affecté environ 33 000 patients, ce qui a entraîné un nombre record de plaintes, et par conséquent, c'est mathématique, un impact significatif sur les statistiques de la criminalité dans le pays. Il est également probable que la nature du crime (une violation massive de la vie privée et une tentative d'extorsion) ait suscité une grande indignation publique et ainsi incité davantage de personnes à signaler l'incident.
01 décembre 2024 à 11h06
Source : The Register