Les hôpitaux victimes d’une cyber-attaque, la première d’une série?

© Photo Pixabay/iAmMrRobImage d'illustration
Image d'illustration  - Sputnik Afrique, 1920, 29.09.2021
S'abonner
Les données personnelles d’un million et demi de patients des hôpitaux parisiens ont été piratées via une faille informatique de type "zero-day". Le hacker éthique Frédéric Ocana craint de voir ce genre de drame se répéter.
"Impossible à prévoir": la réputation des failles informatiques zero-day les précède. Ce terme désigne une vulnérabilité logicielle inconnue de l’éditeur du programme. Le 15 septembre dernier, l’Assistance publique-Hôpitaux de Paris (AP-HP) en a été la victime: les données de 1,4 million de personnes ont été piratées via le site. Des noms, prénoms, dates de naissance, mais également des numéros de Sécurité sociale des patients ayant effectué un test de dépistage Covid-19 en mai 2020 ont étés dérobés. La direction d’AP-HP a présenté ses excuses, mais l’inquiétude de demeure. L’expert en cybersécurité Frédéric Ocana explique comment se prémunir des menaces.
Sputnik: Faut-il s'inquiéter de l'attaque informatique ayant visé l'APHP?
Frédéric Ocana: "Oui. Certes, les noms de famille et les prénoms sont faciles à trouver. Même par le fichier de l’école de vos enfants! Mais on a également piraté les numéros de Sécurité sociale. Via cette info confidentielle, on retrouve votre date de naissance, vos adresses électroniques… Avec des recoupements faciles, on peut avoir des informations sur votre santé.
Infirmière (image d'illustration) - Sputnik Afrique, 1920, 15.09.2021
Tests Covid: les données de 1,4 million de personnes ont été dérobées des Hôpitaux de Paris
Si on recoupe avec certaines périodes, on peut connaître votre statut vaccinal ou autre chose. C’est déjà plus qu’un nom et un prénom."
Sputnik: Concrètement, que risquent les particuliers dont les données ont été détournées?
Frédéric Ocana: "Le plus basique, c’est la récupération des données par une entreprise –bien ou mal intentionnée– pour des démarchages.
Avec ces données, on peut également usurper facilement l’identité. En France, la plus grosse fraude, c’est sur la carte Vitale. La Sécurité sociale admet avoir émis cinq million de cartes physiques qui ne sont pas rattachées à l’état civil. Ce n’est pas le fruit d’un piratage, mais de la facilité d’obtenir une carte bidon. Il suffit d’avoir des factures EDF et des fiches de paye pour commencer à créer des papiers. Les seules choses qu’on ne puisse falsifier ainsi, c’est la carte d’identité et le passeport. Ces documents sont attachés à l’extrait d’acte de naissance et les registres d’état civil."
Sputnik: Ce type d’événement sera-t-il amené à se répéter?
Frédéric Ocana: "Oui. Et là, il faut expliquer ce qu’est la faille zero-day,qu’on traduit par vulnérabilité du jour zéro. Il s’agit d’une vulnérabilité qui n’a pas été encore trouvée par le fournisseur ou le constructeur du logiciel et qui est exploitée immédiatement, parce qu’elle n’a pas de correctif. Les mises à jour qui arrivent sur vos téléphones ou ordinateurs sont là pour bloquer l’utilisation frauduleuse des défauts de protection. Au fur et à mesure, ces failles zero-daysont comblées. Mais, à la base, il n’y a pas de pansement pour les soigner.
François Fillon - Sputnik Afrique, 1920, 21.01.2020
Le compte Twitter de François Fillon a subi une attaque de la «cyber-armée turque»
Ce sont les failles les plus sensibles. Elles font peur le plus souvent aux gouvernements et aux entreprises. Rappelons-nous la fameuse exploitation par les Israéliens d’une faiblesse dans WhatsApp pour attaquer des IPhones. Ça reposait sur du zero-day. Les Israéliens en ont fait un business, mais il n’y a pas qu’eux. C’est pour cela que les zero-day sont payés cher par Apple ou Google: il existe une sorte de bourse des primes où on paye ceux qui ont trouvé une faille. Les récompenses peuvent aller jusqu’à un ou deux millions.
Quant’à l'AP-HP, je pense qu’ils sont tombés sur une faille zero-day par hasard. Le logiciel concerné a été conçu par Hitachi et retravaillé pour l’utilisation du partage des fichiers. Je ne sais si les personnes sont tombées sur ces fichiers intentionnellement. Sans pouvoir l’affirmer, il est possible qu’il y ait des personnes un peu “initiées” dans les services. En tombant par hasard sur ce fichier, il suffisait de regarder sur le black market si la faille était répertoriée par Hitachi avant de s’en servir."
Sputnik: Là, en l'occurrence, quel prix doit mettre l'AP-HP?
Frédéric Ocana: "C’est assez difficile à chiffrer.
Ils devront faire un effort sur le processus: apprendre à avoir des boucles de qualité, à vérifier l’utilisation et la vérification de la data, savoir quelles données ne sont pas à conserver. Je pense vraiment que ce n’est pas leur faute, mais que c’est plus une conséquence des décisions gouvernementales. En effet, tout est question de moyens. On sait que l’hôpital est un peu comme un parent pauvre. On l’a vu pendant le Covid-19. Si on a mis en place le Ségur de la santé, un plan de relance du gouvernement conçu pour revaloriser les hôpitaux et augmenter les salaires des soignants, il faut aussi leur donner du matériel qui marche. J’ai des témoignages déplorables d’amis travaillant dans les hôpitaux à Lille.
Une infirmière prépare une injection - Sputnik Afrique, 1920, 21.09.2021
Covid-19
Grève de la faim contre la vaccination obligatoire à l’hôpital de Nice
Juste avant la pandémie, il y avait plein d’attaques informatiques contre les hôpitaux. Ces établissements sont devenus les cibles non seulement pour le vol de données, comme dans cette attaque, mais aussi pour des opérations de neutralisation. Entre envoyer une bombe atomique et saboter le système informatique des hôpitaux, pas sûr qu’il y ait une énorme différence en nombre de morts. Si on efface les fichiers des hôpitaux de France, comment soigner? On est paralysé."
Sputnik: Que doit faire l'État et que pouvons-nous faire, individuellement, pour nous protéger?
Frédéric Ocana: "La meilleure chose, c’est d’être avare de ses données personnelles.
Surtout sur les plates-formes en dehors des comptes gouvernementaux, comme Doctolib. Ces plates-formes privées n’ont pas les mêmes responsabilités que le gouvernement. Elles ont le droit de vendre des données. Or elles veulent gagner de l’argent.
Par exemple, actuellement, l’école propose de faire des tests PCR, au sein de l’établissement. Et c’est toujours payé par la Sécurité sociale. Ainsi, l’école peut créer son propre fichier Excel avec les noms de famille et les numéros de Sécurité sociale des parents. Qu’est-ce qui nous dit que ça va être protégé?
Pensez comme pour votre carte de crédit. Vous ne la laissez pas traîner sur un comptoir et préférez que le serveur ne parte pas avec au fond du restaurant. Là, c’est pareil. Si vous n’avez pas besoin de sortir votre carte Vitale ou de communiquer votre numéro de Sécurité sociale, abstenez-vous-en. Essayez d’avoir une boîte mail générique avec un login différent des autres.
Rappelez-vous l’image d’une semeuse dans un champ de blé sur les pièces de monnaie françaises? Il ne faut pas semer vos données à tout va, parce que, un jour ou l’autre, quelqu’un va arriver et, au lieu que le blé germe et fasse des épis, on verra arriver les corbeaux qui les mangeront."
Fil d’actu
0
Pour participer aux discussions, identifiez-vous ou créez-vous un compte
loader
Chat
Заголовок открываемого материала