De quoi s’agit-il ?
Le 9 septembre, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), a signalé une fuite de données françaises concernant des millions de résultats de test COVID-19 sur un hébergeur de Nouvelle-Zélande.
En effet, l’Assistance Publique-Hôpitaux de Paris (L’AP-HP) a été victime d’un piratage informatique causé par une vulnérabilité de son logiciel.
Dans ce cadre, des données à caractère personnel et médical ont été rendues accessibles. Ainsi que le type de test et son résultat. De plus, l’identité et les coordonnées du professionnel de santé l’ayant réalisé, aussi.
Les personnes concernées ont été contactées afin de les informer de la situation, mais aussi de ce qu’il est recommandé de faire pour réagir.
Une semaine après les faits, de nouvelles informations confirment qu’il ne s’agit pas d’une erreur ni humaine ni de l’établissement, mais bien d’une faille logicielle exploitée à des fins malveillantes.
Cette brèche a été confirmée par l’entreprise américaine Hitachi Vantara qui conçoit le logiciel HCP Anywhere, qu’utilisent les équipes de l’AP-HP.
Dans un communiqué, Hitachi Vantara dit avoir reçu le 13 septembre l’information de la suspicion d’une faille. Ce qui, après analyse, a révélé « un ensemble d’événements complexes et discrets qui pourraient possiblement entraîner une vulnérabilité s’ils étaient exploités par un attaquant malveillant » (source: Numerama).
Dès le lendemain, l’organisme a pu fournir un premier script pour limiter l’impact causé par cette attaque les effets de cette vulnérabilité. Deux jours plus tard, une mise à jour complète de ce logiciel a pu être transmise à tous les clients.
Cela peut-il arriver de nouveau ?
La faille en question se nomme une faille de type 0-day. Ces failles sont cruellement redoutées en sécurité informatique, car elles concernent des faiblesses existant déjà avant la mise en circulation d’un logiciel, d’une application ou d’un produit. Celles-ci sont dangereuses car elles ne sont pas encore documentées. Elles peuvent être connues ou non du concepteur du produit. Certains concepteurs malgré leur connaissance de l’existant décident tout de même de mettre le produit sur le marché, pour des raisons telles qu’économiques ou techniques.
Peut-on qualifier cette faille d’une négligence de la part du concepteur ? Le lien d’accès aux résultats aurait dû être auto-détruit quelques jours après consultation du patient. On peut également s’interroger quant au chiffrement des données.
Pour tenter d’obtenir de plus amples informations, plusieurs enquêtes sont réalisées : en interne par l’AP-HP ; une autre de la Commission Nationale de l’Informatique et des Libertés (CNIL), ainsi qu’une dernière lancée par le parquet de Paris.
Connaît-on le coupable ?
Il semblerait que le coupable soit un étudiant en informatique du Var, opposé au pass-sanitaire, ayant justifié son acte comme étant une opération militante. N’ayant pas pour but de réclamer une rançon ou de subtiliser ces données, mais voulant juste « démontrer la faiblesse et la faillibilité du système informatique de l’AP-HP » précise l’AFP (source: Le Monde)
Comment s’en protéger ?
On ne peut lutter contre une attaque d’un site connu en tant qu’individu. Cependant, nous pouvons rester à l’affût des menaces potentielles telles que :
- La manipulation psychologique : ces alertes vous sont adressées pour vous laisser croire que vous êtes déjà client de l’organisation citée, ou encore pour jouer sur votre curiosité et vous inciter à cliquer.
- Le smishing : agissant sur vos téléphones portables à partir de SMS ou d’appels téléphoniques
- Les design utilisés, certaines grandes marques sont reproduites mais rarement à l’identique et/ou d’une qualité similaire, prêtez attentions aux détails.
- Le contenu de l’e-mail : si les propos tenus semblent irréalistes, une offre sans commune mesure, un gain non justifié etc.
- Ne pas cliquer : lorsqu’un lien, un email ou un propos vous semble étrange, il vaut mieux ne pas cliquer.
- Si toutefois vous constatez que vos données ont été piratées, n’hésitez pas à le mentionner à l’ANSSI et/ou en portant plainte auprès de la CNIL ou de Cybermalveillance.gouv.
Avant de Cliquer propose également de sensibiliser votre organisation au travers de notre solution.