Le vol de données de santé de l'AP-HP serait dû à une faille zero day dans un logiciel Hitachi Vantara

Pour transmettre les résultats des tests Covid-19, le personnel de l'AP-HP utilisait un service de partage de fichiers fonctionnant sur HCP Anywhere, un logiciel commercialisé par Hitachi Vantara. Or, une faille zero day a permis à des hackers d'aspirer les données de santé de 1,4 million de patients. Depuis, une mise à jour de sécurité du logiciel a été publiée pour colmater la brèche. 

Partager
Le vol de données de santé de l'AP-HP serait dû à une faille zero day dans un logiciel Hitachi Vantara

Les circonstances du vol de données de santé de 1,4 million de patients de l'AP-HP commencent à s'éclaircir. Une faille zero day dans le logiciel Hitachi Content Platform Anywhere (HCP Anywhere) serait au coeur de cet incident de sécurité, d'après Le Monde.

Un logiciel de partage
Ce logiciel est commercialisé par Hitachi Vantara, une filiale du géant japonais née en 2017 de la fusion de Hitachi Data Systems, Hitachi Insight et Pentaho. Faisant fonctionner le service "Dispose" de l'AP-HP, il permet l'échange de fichiers entre les équipes du groupement hospitalier francilien. Une sorte de "Dropbox".

Ce logiciel a permis de transmettre les résultats de tests Covid-19 à l'Assurance maladie entre juin et octobre 2020, avant que cet envoi ne soit automatisé. Pour chaque envoi, un mot de passe était transmis à l'Assurance maladie par un "canal séparé", raconte le média. En théorie, après chaque transfert, les informations étaient supprimées manuellement et le lien permettant d'y accéder était censé "s'autodétruire" après sept jours.


Les mots de passe et données n'étaient pas effacés
Or, la théorie et la pratique ne coïncident pas toujours, notamment en matière de sécurité informatique. Ainsi, les données transitant par Dispose sont finalement restées près d'un an sur les serveurs du groupement hospitalier. Conséquence de quoi, quiconque disposait du lien pouvant accéder à la page du téléchargement et donc des données personnelles des patients.

Cette situation serait due à une faille de sécurité dans le logiciel HCP Anywhere. Celle-ci permettait de contourner la protection offerte par le mot de passe et de télécharger les données. Ce que des cybercriminels se sont empressés de faire et ont ainsi réussi à dérober les données de 1,4 million de patients. Elles ont même été publiées sur "une plateforme de téléchargement hébergée en Nouvelle-Zélande", précisait l'email envoyé par l'AP-HP aux victimes de l'attaque. "Cet accès a été coupé le 14 septembre 2021", indiquait Martin Hirsch, à la tête du groupement.

Qualifiée de zero day, cette brèche n'avait jamais fait l'objet d'aucun correctif car elle n'était pas connue par son éditeur. En réaction, une mise à jour de sécurité a été publiée par Hitachi Vandara le 19 septembre expliquant avoir été averti par l'un de ses clients.

Tentatives d'hameçonnage ou d'escroquerie
Les enquêtes judiciaires et interne en cours devraient apporter davantage de précision et notamment déterminer si l'AP-HP a failli dans sa mission de protection de la sécurité informatique. En attendant, les victimes de cette attaque doivent être attentives aux tentatives d'hameçonnage ciblé, escroquerie, extorsion ou atteinte à l'image ou à la réputation ou encore tentatives de piratage des comptes en ligne leur appartenant.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS