Santé : Quatre nouvelles alertes cybersécurité de ZATAZ

Posted On 04 Mar 2021

Tag: cabinet, faille, fuite, laboratoire, radiographie, santé

Le Protocole d’alerte ZATAZ alerte les autorités Françaises de trois nouveaux problèmes de cybersécurité concernant des entités liées à la santé. L’ANSSI et le Ministère de la Santé répondent au quart de tour.

Je vais d’entrée de jeu mettre les points sur les i ! Non, il n’y aura pas les noms des sociétés alertées via le Protocole ZATAZ, alertes effectuées par le biais de l’Agence Nationale de la Sécurité des Systèmes d’Information et du Ministère des Solidarités et de la Santé.

Pourquoi cacher les noms ? D’abord pour protéger ces laboratoires et cabinet d’imagerie médicale, ainsi que leurs patients. Les failles sont en cours de correction. Ensuite, pour éviter de voir débarquer la famille « sangsue », ces vendeurs de cybersécurité qui profitent des alertes de ZATAZ pour vendre toute une série de prestations. Dans les derniers cas en date, on m’a même proposé un pourcentage en cas de vente ! Le Protocole ZATAZ à bientôt 25 ans ! Il n’a jamais rien vendu, même au diable.

Jusqu’ici… tout va bien ?

Revenons donc à nos quatre cas traités à la vitesse de la lumière par la Ministère de la Santé (et son service cyber) et l’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI.

Le premier problème, une fuite d’information via une clinique spécialisée dans l’imagerie médicale du côté de la région Rhône-Alpes. Vous êtes patients, vous pouvez accéder à vos informations personnelles de santé en rentrant votre date de naissance et votre numéro d’examen. Du classique, même si un petit mot de passe supplémentaire ne ferait pas de mal. D’autant qu’en modifiant une information accessible d’un clic de souris, dans l’espace du patient, il était possible d’accéder aux données des autres patients. L’accès aux résultats est protégé mais pas la consultation des différents éléments présents dans la page.

Le second cas vise une complémentaire santé tenue par une association d’assurés. Dans leur cas, après s’être authentifié, il suffit ici aussi de cliquer sur une partie particulière de l’espace assuré pour se retrouver face aux informations d’autres assurés santé.

58 failles pour le même professionnel de la santé !

Dernière alerte du moment, un second centre d’imagerie médicale située dans le département du Cher. Eux, je leur décerne le pompon du CVE. Pas moins de 58 vulnérabilités. Certaines datant de 2010. L’information m’a été communiquée par un lecteur, passé par le Protocole d’Alerte ZATAZ (qui au passage s’approche gentiment des 80 000 alertes bénévoles). La liste des failles s’affiche dans Shodan, le moteur de recherche dédié à la cybersécurité.

Bref, je retourne dans le froid hivernal Québécois, ma souris saigne du nez à voir des « trucs » pareils en 2021 !

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.