La santé, la cible pirate en 2016 ?

Blocage, ransomware, chantage… le secteur de la santé sera-t-il la cible des pirates en 2016.

En lisant les dizaines de communiqués de presse des différents éditeurs de solutions de sécurité informatique, il semble que le marché à prendre pour les antivirus, firewalls et autres outils numériques soit celui du domaine de la santé.

Dans son dernier rapport baptisé « Predictions 2016: Cybersecurity Swings To Prevention » l’américain Forester indique que le cyber crime va se pencher sur la vie des patients, via le matériel informatique qu’ils peuvent utiliser pour se soigner. Dans la liste annoncée, stimulateur cardiaque et autres pompes à insuline. La Food and Drug administration américaine faisait interdire, au mois d’août 2015 un appareil médical considéré comme dangereux en raison de plusieurs vulnérabilités informatiques pouvant entrainer de sérieux problèmes.

La bourse ou la vie ?

Les pirates utilisent depuis des années les ransomwares, les logiciels qui permettent de chiffrer un disque dur et de réclamer de l’argent contre les documents rendus illisibles par l’outil pirate. Demain, la même tactique pourrait-être utilisée sur les pompes à insuline et les stimulateurs cardiaques. Les logiciels de rançonnages pourraient s’intéresser aux dispositifs médicaux « La plus grande menace de cyber-sécurité pour 2016« , selon Forester.

Pour le moment, que de la spéculation. Il n’y a pas de cas de piratages d’utilisateur de pacemaker. Encore moins pour les robots chirurgicaux, les scanners et autres matériels qui, manipulés, pourraient tuer. Cependant, j’ai pu constater en 2015 du « grand n’importe quoi » dans les serveurs et sites Internet de Pharmaciens, dentistes, médecins, cliniques. Fuites de données, failles en tout genre. Pas de quoi manipuler le cœur d’un patient, mais de quoi perturber sa vie numérique, ses données, sa vie privée, son ordinateur. Heureusement, cela ne tue pas. Enfin, espérons-le ! Aucune idée n’est réalisée sur le traumatisme que vivent, par exemple, les centaines d’internautes visaient, indirectement, dans le chantage du groupe de pirates Rex Mundi à l’encontre d’un laboratoire d’analyse de sang.

Du sirop et au dodo !

Selon une étude publiée par le Ponemon Institut, 91% des entreprises de santé US auraient subi une violation de leurs données depuis 2014. Selon l’étude « Privacy and Security of Healthcare Data », 32% des personnels de santé interrogés pensent avoir les ressources suffisantes pour parer à un « incident » informatique.

Pour la France, aucun chiffre officiel. Je vais vous fournir ceux de Zataz, tirés du protocole d’alerte. D’abord des XSS, cette faille idiote qui permet d’afficher une information erronée, et malveillante, dans le support visé. Le pirate doit formuler un courriel particulier pour que la cible déclenche l’attaque. Une attaque qui peut aussi intercepter des données, comme les cookies de connexion ou lancer une seconde attaque, à l’encontre d’un autre site. Des infiltrations, nombreuses cette année, par des pirates informatiques spécialisés dans le black SEO. L’idée, profiter d’un site Internet ayant pignon sur web pour y cacher de fausses pharmacies.

Parmi les cas, les sites du projet régional de santé d’Île de France, le Centre Hospitalier de Belley, le Centre Hospitalier de Haute-Comté ou encore le Centre Hospitalier de Figeac en ont fait les frais. Inquiétant, d’autant plus que si les pirates ont installé leur « petit business » dans les serveurs, qu’ont-ils pu faire avant ? Et je ne parle même pas des sites et serveurs infiltrés sans que les propriétaires et clients n’e soient alertés, à l’image du laboratoire « Santé Beauté » qui a été « attaqué » en septembre 2015. Aucune données véritablement sensibles, mais suffisamment précise pour qu’un malveillant puisse mettre en place une escroquerie ou encore, un mois auparavant, le site Internet de la Haute Autorité de la Santé [has-sante.fr] dont l’espace web sera exploité dans un phishing.