Les pharmacies en ligne sont-elles immunisées contre les microbes 2.0 ?

Acheter ses médicaments sur Internet, sous certaines conditions, est autorisé en France depuis janvier 2013. Les pharmaciens et leurs officines établis en France peuvent faire commerce de médicaments en mode online. Qu’en est-il de la sécurité informatique de ces dernières ? A première vue, la pilule ne passe pas toujours très bien. Enquête ZATAZ.

Notre enquête a débuté tout simplement. A partir du site Internet de l’Ordre des Pharmaciens, nous recherchions à connaître si notre pharmacie locale était référencée par le moteur de recherche de l’Ordre. Dans la liste, quelques 200 officines autorisés par les Agences régionales de santé à commercer sur le réseau des réseaux. Notre pharmacien n’y était pas, 203 autres y étaient référencés. Nous nous sommes donc mis à la recherche d’une pharmacie connectée et proche de nos bureaux. Le clic nous a donné un léger mal de tête.

D’abord plusieurs sites (27) affichent des erreurs 404. De liens modifiés ou sites fermés rendant caduques toutes tentatives de connexions. Ensuite, des alertes liées aux certificats assurant l’authenticité/efficacité de la sécurité de 12 sites (HTTPS). Ça commence mal ! Nous voilà déjà avec 39 pharmacies en lignes qui ne donnent pas du tout confiance. Le plus « gênant » arrive.

Avec notre simple navigateur, une dizaine de site nous ont affichés d’entrée de jeu des erreurs SQL. Des « bugs » visant les bases de données des officines 2.0. Inquiétant quand on connaît la facilité de taper dans une « BDD » avec certains logiciels d’audits ou de piratage. Des affichages d’erreurs de se types ouvrent des possibilités malveillantes bien trop facilement aux pirates. L’autre grosse inquiétude, qui vise/visait 97 pharmacies en ligne Françaises, des failles de type XSS (Cross-Site Scripting). Pour rappel, la faille XSS permet de déclencher le téléchargement d’un code malveillant, d’afficher une page de filoutage (phishing), de voler le cookie de connexion (Exemples en images, ndlr zataz.com) d’un client. La procédure pirate est plus longue qu’une attaque SQLi, mais non sans être moins dangereuse. Dans ces 97 cas, un pirate n’avait qu’à diffuser un lien particulièrement forgé, avec l’url officiel des officines vulnérables, sur des forums spécialisés liés à la santé. Les dégâts auraient pu être conséquents. (Avec Miaouxxx)

Les officines, l’Ordre des Pharmaciens, ainsi que le Ministère de la Santé ont été informés de nos découvertes. A noter que seules trois sociétés nous ont contacté afin de corriger vite et bien les failles qui les dominaient. C’est tout à leur honneur, le 100% sécurité n’existant pas (et n’existera jamais, ndlr), l’écoute et la réactivité sont des piliers importants d’une bonne sécurité. Pour les autres, des rustines sont apparus comme par magie après notre Protocole d’Alerte. Ils ont sécurisé leurs clients, c’est le principal.

Nous tenons à disposition des officines la liste des sites faillibles. Nous ne répondrons aux sollicitations que dans la condition ou ladite demande fait bien parti du protocole d’alerte de zataz [50277 à 50364].

A noter, pour les nordistes, un rendez-vous ce lundi soir (17h30), à La gare numérique de Jeumont. Ce 1er décembre, un cours gratuit sur comment et pourquoi les pirates arrivent à attaquer certains sites web. Prenez vos PC, les organisateurs, indique que vous allez pratiquer. Faille XSS et iSQL au programme pour mieux comprendre et s’en défendre.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. gear Reply

    Un peu geek dans l’âme, j’ai moi-même vérifié de nombreux sites pour vérifier la sécurité de leurs données. Et comme vous, je me suis rendus compte de l’incompétence des développeurs de pharmacies en ligne en matière de sécurité des BDD.

    Mais encore des trous dans la sécurité peuvent être compréhensibles car le marché est tout jeune et les pharmaciens ne sont pas spécialisé en e-commerce. Mais ce qui m’a dérangé le plus, c’est la sécurité sanitaire !
    Je pouvais commander sur certains sites 10 donormyl (un somnifère vendu sans ordonnance) ! Un vrai danger ! J’avais l’impression d’être sur chronodrive en train de commander des tomates !

    [Le reste du message a été effacé : raison publicité).

  2. Hack3r Fuck Reply

    Le seul probléme des CyberPharmacies , et que il ne prene pas des Techniciens de Haute Qualification , exemple le Probleme SQL est que le serveur n’a pas assez d’autorisation de connexion ( Par défaut : 2 )

  3. Pingback: ZATAZ Magazine » Condamnation pour utilisation d’une faille XSS

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.