Santé : Quatre nouvelles alertes cybersécurité de ZATAZ
Le Protocole d’alerte ZATAZ alerte les autorités Françaises de trois nouveaux problèmes de cybersécurité concernant des entités liées à la santé. L’ANSSI et le Ministère de la Santé répondent au quart de tour.
Je vais d’entrée de jeu mettre les points sur les i ! Non, il n’y aura pas les noms des sociétés alertées via le Protocole ZATAZ, alertes effectuées par le biais de l’Agence Nationale de la Sécurité des Systèmes d’Information et du Ministère des Solidarités et de la Santé.
Pourquoi cacher les noms ? D’abord pour protéger ces laboratoires et cabinet d’imagerie médicale, ainsi que leurs patients. Les failles sont en cours de correction. Ensuite, pour éviter de voir débarquer la famille « sangsue », ces vendeurs de cybersécurité qui profitent des alertes de ZATAZ pour vendre toute une série de prestations. Dans les derniers cas en date, on m’a même proposé un pourcentage en cas de vente ! Le Protocole ZATAZ à bientôt 25 ans ! Il n’a jamais rien vendu, même au diable.
Jusqu’ici… tout va bien ?
Revenons donc à nos quatre cas traités à la vitesse de la lumière par la Ministère de la Santé (et son service cyber) et l’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI.
Le premier problème, une fuite d’information via une clinique spécialisée dans l’imagerie médicale du côté de la région Rhône-Alpes. Vous êtes patients, vous pouvez accéder à vos informations personnelles de santé en rentrant votre date de naissance et votre numéro d’examen. Du classique, même si un petit mot de passe supplémentaire ne ferait pas de mal. D’autant qu’en modifiant une information accessible d’un clic de souris, dans l’espace du patient, il était possible d’accéder aux données des autres patients. L’accès aux résultats est protégé mais pas la consultation des différents éléments présents dans la page.
Le second cas vise une complémentaire santé tenue par une association d’assurés. Dans leur cas, après s’être authentifié, il suffit ici aussi de cliquer sur une partie particulière de l’espace assuré pour se retrouver face aux informations d’autres assurés santé.
58 failles pour le même professionnel de la santé !
Dernière alerte du moment, un second centre d’imagerie médicale située dans le département du Cher. Eux, je leur décerne le pompon du CVE. Pas moins de 58 vulnérabilités. Certaines datant de 2010. L’information m’a été communiquée par un lecteur, passé par le Protocole d’Alerte ZATAZ (qui au passage s’approche gentiment des 80 000 alertes bénévoles). La liste des failles s’affiche dans Shodan, le moteur de recherche dédié à la cybersécurité.
Bref, je retourne dans le froid hivernal Québécois, ma souris saigne du nez à voir des « trucs » pareils en 2021 !