Les pharmacies en ligne sont-elles immunisées contre les microbes 2.0 ?

Posted On 01 Déc 2014

Acheter ses médicaments sur Internet, sous certaines conditions, est autorisé en France depuis janvier 2013. Les pharmaciens et leurs officines établis en France peuvent faire commerce de médicaments en mode online. Qu’en est-il de la sécurité informatique de ces dernières ? A première vue, la pilule ne passe pas toujours très bien. Enquête ZATAZ.

Notre enquête a débuté tout simplement. A partir du site Internet de l’Ordre des Pharmaciens, nous recherchions à connaître si notre pharmacie locale était référencée par le moteur de recherche de l’Ordre. Dans la liste, quelques 200 officines autorisés par les Agences régionales de santé à commercer sur le réseau des réseaux. Notre pharmacien n’y était pas, 203 autres y étaient référencés. Nous nous sommes donc mis à la recherche d’une pharmacie connectée et proche de nos bureaux. Le clic nous a donné un léger mal de tête.

D’abord plusieurs sites (27) affichent des erreurs 404. De liens modifiés ou sites fermés rendant caduques toutes tentatives de connexions. Ensuite, des alertes liées aux certificats assurant l’authenticité/efficacité de la sécurité de 12 sites (HTTPS). Ça commence mal ! Nous voilà déjà avec 39 pharmacies en lignes qui ne donnent pas du tout confiance. Le plus « gênant » arrive.

Avec notre simple navigateur, une dizaine de site nous ont affichés d’entrée de jeu des erreurs SQL. Des « bugs » visant les bases de données des officines 2.0. Inquiétant quand on connaît la facilité de taper dans une « BDD » avec certains logiciels d’audits ou de piratage. Des affichages d’erreurs de se types ouvrent des possibilités malveillantes bien trop facilement aux pirates. L’autre grosse inquiétude, qui vise/visait 97 pharmacies en ligne Françaises, des failles de type XSS (Cross-Site Scripting). Pour rappel, la faille XSS permet de déclencher le téléchargement d’un code malveillant, d’afficher une page de filoutage (phishing), de voler le cookie de connexion (Exemples en images, ndlr zataz.com) d’un client. La procédure pirate est plus longue qu’une attaque SQLi, mais non sans être moins dangereuse. Dans ces 97 cas, un pirate n’avait qu’à diffuser un lien particulièrement forgé, avec l’url officiel des officines vulnérables, sur des forums spécialisés liés à la santé. Les dégâts auraient pu être conséquents. (Avec Miaouxxx)

: Le site n’existe pas !

: Faille de type XSS.

: Problème SSL !

: Problème de base de données !

Les officines, l’Ordre des Pharmaciens, ainsi que le Ministère de la Santé ont été informés de nos découvertes. A noter que seules trois sociétés nous ont contacté afin de corriger vite et bien les failles qui les dominaient. C’est tout à leur honneur, le 100% sécurité n’existant pas (et n’existera jamais, ndlr), l’écoute et la réactivité sont des piliers importants d’une bonne sécurité. Pour les autres, des rustines sont apparus comme par magie après notre Protocole d’Alerte. Ils ont sécurisé leurs clients, c’est le principal.

Nous tenons à disposition des officines la liste des sites faillibles. Nous ne répondrons aux sollicitations que dans la condition ou ladite demande fait bien parti du protocole d’alerte de zataz [50277 à 50364].

A noter, pour les nordistes, un rendez-vous ce lundi soir (17h30), à La gare numérique de Jeumont. Ce 1er décembre, un cours gratuit sur comment et pourquoi les pirates arrivent à attaquer certains sites web. Prenez vos PC, les organisateurs, indique que vous allez pratiquer. Faille XSS et iSQL au programme pour mieux comprendre et s’en défendre.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

3 Comments

gear 02/12/2014 at 11:38 Reply

Un peu geek dans l’âme, j’ai moi-même vérifié de nombreux sites pour vérifier la sécurité de leurs données. Et comme vous, je me suis rendus compte de l’incompétence des développeurs de pharmacies en ligne en matière de sécurité des BDD.

Mais encore des trous dans la sécurité peuvent être compréhensibles car le marché est tout jeune et les pharmaciens ne sont pas spécialisé en e-commerce. Mais ce qui m’a dérangé le plus, c’est la sécurité sanitaire !
Je pouvais commander sur certains sites 10 donormyl (un somnifère vendu sans ordonnance) ! Un vrai danger ! J’avais l’impression d’être sur chronodrive en train de commander des tomates !

[Le reste du message a été effacé : raison publicité).
Hack3r Fuck 03/12/2014 at 18:04 Reply

Le seul probléme des CyberPharmacies , et que il ne prene pas des Techniciens de Haute Qualification , exemple le Probleme SQL est que le serveur n’a pas assez d’autorisation de connexion ( Par défaut : 2 )
Pingback: ZATAZ Magazine » Condamnation pour utilisation d’une faille XSS