Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Le monde de la santé cible privilégiée des attaques : éléments d'explication

Le monde de la santé cible privilégiée des attaques : éléments d'explication
2016-03-302016-03-30sécurité du poste de travailfr
Les demandes de rançon dans le milieu médical se multiplient depuis le début de l’année. En Californie, en Allemagne ou encore en France à Epinal, les infections par les malwares Dridex ou Locky ont touché certains hôpitaux qui ont payé pour pouvoir accéder à nouveau à leurs données.
Publié le 30 Mars 2016 par Philippe Macia dans sécurité du poste de travail
Le monde de la santé cible privilégiée des attaques : éléments d’explication

Madame Irma l’annonçait et malheureusement elle ne se trompait pas. Les demandes de rançon dans le milieu médical se multiplient depuis le début de l’année. En Californie, en Allemagne ou encore en France à Epinal, les infections par les malwares Dridex ou Locky ont touché certains hôpitaux qui ont payé pour pouvoir accéder à nouveau à leurs données. S’agit-il d’un épiphénomène ou d’une tendance de fond ? Pourquoi au-delà des hôpitaux, les données de santé sont-elles une cible privilégiée des pirates ?

L’attaque contre les hôpitaux

Comme je l’expliquais dans un précédent article, la mise à jour d’un système d’information médical est un problème complexe. Les matériels ayant une durée de vie assez longue, il est fréquent qu’ils soient pilotés par des logiciels reposant sur des OS obsolètes et non mis à jour. Ce qui rend les hôpitaux particulièrement vulnérables à toute attaque un peu sophistiquée.

Les blocages des hôpitaux par des ransomwares ne sont donc peut-être, et je l’espère, qu’un effet de bord. Dans les articles cités dans l’introduction, rien ne prouve que les hôpitaux aient été plus spécifiquement ciblés que des entreprises lambda. En revanche, en raison de l’aspect « always on » de l’activité hospitalière, l’interruption du système d’information peut s’avérer dramatique. D’où, peut-être, une incitation à payer les rançons demandées plus rapidement que dans les secteurs industriels, et une médiatisation supplémentaire. Cependant les moyens de lutter contre les campagnes d’infection sont les mêmes que pour toutes les victimes. En est-il de même pour les attaques contre les données de santé ?

Pourquoi les pirates s’attaquent-ils aux données de santé ?

Par données de santé, j’entends des données qui contiennent des informations médicales personnelles au sens large. Elles peuvent être conservées par les hôpitaux, mais aussi par des laboratoires indépendants, des cabinets médicaux, des mutuelles, des assurances, etc.

Disons-le tout net, l’attaque contre les données de santé n’est pas un épiphénomène. Dans son dernier rapport de sécurité Cisco note en page 25 que le domaine de la santé fait partie des 4 secteurs professionnels sur 22 les plus exposés aux attaques, et même le plus attaqué depuis l’automne 2015 (page 26). Selon le FBI, un numéro de carte de crédit se vendrait aux alentours de 1$ alors que des données de santé peuvent se vendre jusqu’à 50$. Une étude Bluecoat évoque même la somme de 300$ pour des données complètes incluant des données de santé.


Mais pourquoi les données personnelles de santé ont-elles autant de valeur ?

Tout d’abord, parce qu’elle combinent des données personnelles très sensibles et détaillées (la partie purement médicale), ainsi que des données administratives (adresse, numéro de sécurité sociale, mutuelle, etc.) De plus, il est vraisemblable que ces données soient parfaitement à jour, ce qui augmente encore leur intérêt pour les pirates. En ce qui concerne leur utilisation, selon BlueCoat, la forte valeur des données de santé peut servir à alimenter des campagnes de phishing ou des attaques en ingénierie sociale. McAfee, indique qu’en raison de leur richesse ces données médicales pourraient également être facilement exploitées pour usurper des identités, générer de nouveaux identifiants voire exercer du chantage. Websense / Raytheon valorise une attaque basée sur des données de santé jusqu’à 20 000 $ par victime contre seulement 2000 $ suite au vol d’un numéro de carte bancaire !

Si ces chiffres sont exacts on peut donc malheureusement estimer que les attaques contre les données médicales vont perdurer. J’espère, en revanche, qu’une fois prises les mesures de protection contre les ransomwares, les blocages des hôpitaux vont cesser rapidement.

Philippe

4 Commentaires

  • 21 Avril 2016
    2016-04-21
    par

    Bonjour Arnaud

    Merci pour votre commentaire. En effet il faut bien distinguer les deux menaces, l'une (le ransomware) pouvant bloquer le fonctionnement de l'hôpital immédiatement avec des conséquences graves, l'autre (le vol de données) ayant des conséquences moins immédiates mais tout aussi pernicieuses. La première menaces peut se traiter en formant les personnels et en vérifiant la mise à jour des signatures virales des postes de travail, le seconde est plus difficile à détecter et doit inclure dans la réflexion de défense les fournisseurs et sous traitants des hopitaux. Philippe

     

  • 21 Avril 2016
    2016-04-21
    par
    Arnaud Lemoine
    Merci pour cet article.
    Par contre, à sa lecture, j'ai peur que vos lecteurs néophytes ne fassent un amalgame entre rançongiciels et vol de données de santé. Car, si le premier n'est qu'un Déni de Service dont on a immédiatement l'évidence, le second, comme tout APT, est beaucoup plus subtil et très difficile à remarquer.
  • 11 Avril 2016
    2016-04-21
    par
    Philppe Macia
    Bonjour
    Sans oublier de vérifier la sécurité de sa messagerie car les dernières infections massives semblent bien s'être propagées par mail! Cordialement Philippe
  • 9 Avril 2016
    2016-04-21
    par
    Yann Rolland
    Les Cyberattaques touchent désormais toutes les entreprises, les ransomwares font des victimes chaque jour. La riposte existe pourtant, il faut vacciner les postes de travail et mettre en place une solution de sauvegarde avec reprise d'activité. Il est temps d'agir. N'oubliez jamais que la prochaine victime d'une cyberattaque est peut-être en train de lire cet article...

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage