La santé, la cible pirate en 2016 ?

Blocage, ransomware, chantage… le secteur de la santé sera-t-il la cible des pirates en 2016.

En lisant les dizaines de communiqués de presse des différents éditeurs de solutions de sécurité informatique, il semble que le marché à prendre pour les antivirus, firewalls et autres outils numériques soit celui du domaine de la santé.

Dans son dernier rapport baptisé « Predictions 2016: Cybersecurity Swings To Prevention » l’américain Forester indique que le cyber crime va se pencher sur la vie des patients, via le matériel informatique qu’ils peuvent utiliser pour se soigner. Dans la liste annoncée, stimulateur cardiaque et autres pompes à insuline. La Food and Drug administration américaine faisait interdire, au mois d’août 2015 un appareil médical considéré comme dangereux en raison de plusieurs vulnérabilités informatiques pouvant entrainer de sérieux problèmes.

La bourse ou la vie ?

Les pirates utilisent depuis des années les ransomwares, les logiciels qui permettent de chiffrer un disque dur et de réclamer de l’argent contre les documents rendus illisibles par l’outil pirate. Demain, la même tactique pourrait-être utilisée sur les pompes à insuline et les stimulateurs cardiaques. Les logiciels de rançonnages pourraient s’intéresser aux dispositifs médicaux « La plus grande menace de cyber-sécurité pour 2016« , selon Forester.

Pour le moment, que de la spéculation. Il n’y a pas de cas de piratages d’utilisateur de pacemaker. Encore moins pour les robots chirurgicaux, les scanners et autres matériels qui, manipulés, pourraient tuer. Cependant, j’ai pu constater en 2015 du « grand n’importe quoi » dans les serveurs et sites Internet de Pharmaciens, dentistes, médecins, cliniques. Fuites de données, failles en tout genre. Pas de quoi manipuler le cœur d’un patient, mais de quoi perturber sa vie numérique, ses données, sa vie privée, son ordinateur. Heureusement, cela ne tue pas. Enfin, espérons-le ! Aucune idée n’est réalisée sur le traumatisme que vivent, par exemple, les centaines d’internautes visaient, indirectement, dans le chantage du groupe de pirates Rex Mundi à l’encontre d’un laboratoire d’analyse de sang.

Du sirop et au dodo !

Selon une étude publiée par le Ponemon Institut, 91% des entreprises de santé US auraient subi une violation de leurs données depuis 2014. Selon l’étude « Privacy and Security of Healthcare Data », 32% des personnels de santé interrogés pensent avoir les ressources suffisantes pour parer à un « incident » informatique.

Pour la France, aucun chiffre officiel. Je vais vous fournir ceux de Zataz, tirés du protocole d’alerte. D’abord des XSS, cette faille idiote qui permet d’afficher une information erronée, et malveillante, dans le support visé. Le pirate doit formuler un courriel particulier pour que la cible déclenche l’attaque. Une attaque qui peut aussi intercepter des données, comme les cookies de connexion ou lancer une seconde attaque, à l’encontre d’un autre site. Des infiltrations, nombreuses cette année, par des pirates informatiques spécialisés dans le black SEO. L’idée, profiter d’un site Internet ayant pignon sur web pour y cacher de fausses pharmacies.

Parmi les cas, les sites du projet régional de santé d’Île de France, le Centre Hospitalier de Belley, le Centre Hospitalier de Haute-Comté ou encore le Centre Hospitalier de Figeac en ont fait les frais. Inquiétant, d’autant plus que si les pirates ont installé leur « petit business » dans les serveurs, qu’ont-ils pu faire avant ? Et je ne parle même pas des sites et serveurs infiltrés sans que les propriétaires et clients n’e soient alertés, à l’image du laboratoire « Santé Beauté » qui a été « attaqué » en septembre 2015. Aucune données véritablement sensibles, mais suffisamment précise pour qu’un malveillant puisse mettre en place une escroquerie ou encore, un mois auparavant, le site Internet de la Haute Autorité de la Santé [has-sante.fr] dont l’espace web sera exploité dans un phishing.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Pingback: ZATAZ Magazine » Les 50 attaques informatiques qui ont marqué le web Français en 2015

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.