Le vol de données de santé de l’AP-HP serait dû à une faille zero day dans un logiciel Hitachi Vantara.

Les circonstances du vol de données de santé de 1,4 million de patients de l’AP-HP commencent à s’éclaircir. Une faille zero day dans le logiciel Hitachi Content Platform Anywhere (HCP Anywhere) serait au coeur de cet incident de sécurité, d’après Le Monde

UN LOGICIEL DE PARTAGE
Ce logiciel est commercialisé par Hitachi Vantara, une filiale du géant japonais née en 2017 de la fusion de Hitachi Data Systems, Hitachi Insight et Pentaho. Faisant fonctionner le service « Dispose » de l’AP-HP, il permet l’échange de fichiers entre les équipes du groupement hospitalier francilien. Une sorte de « Dropbox ».

Ce logiciel a permis de transmettre les résultats de tests Covid-19 à l’Assurance maladie entre juin et octobre 2020, avant que cet envoi ne soit automatisé. Pour chaque envoi, un mot de passe était transmis à l’Assurance maladie par un « canal séparé« , raconte le média. En théorie, après chaque transfert, les informations étaient supprimées manuellement et le lien permettant d’y accéder était censé « s’autodétruire » après sept jours. 

LES MOTS DE PASSE ET DONNÉES N’ÉTAIENT PAS EFFACÉS
Or, la théorie et la pratique ne coïncident pas toujours, notamment en matière de sécurité informatique. Ainsi, les données transitant par Dispose sont finalement restées près d’un an sur les serveurs du groupement hospitalier. Conséquence de quoi, quiconque disposait du lien pouvant accéder à la page du téléchargement et donc des données personnelles des patients.

Cette situation serait due à une faille de sécurité dans le logiciel HCP Anywhere. Celle-ci permettait de contourner la protection offerte par le mot de passe et de télécharger les données. Ce que des cybercriminels se sont empressés de faire et ont ainsi réussi à dérober les données de 1,4 million de patients. Elles ont même été publiées sur « une plateforme de téléchargement hébergée en Nouvelle-Zélande« , précisait l’email envoyé par l’AP-HP aux victimes de l’attaque. « Cet accès a été coupé le 14 septembre 2021« , indiquait Martin Hirsch, à la tête du groupement. 

Qualifiée de zero day, cette brèche n’avait jamais fait l’objet d’aucun correctif car elle n’était pas connue par son éditeur. En réaction, une mise à jour de sécurité a été publiée par Hitachi Vandara le 19 septembre expliquant avoir été averti par l’un de ses clients. 

TENTATIVES D’HAMEÇONNAGE OU D’ESCROQUERIE
Les enquêtes judiciaires et interne en cours devraient apporter davantage de précision et notamment déterminer si l’AP-HP a failli dans sa mission de protection de la sécurité informatique. En attendant, les victimes de cette attaque doivent être attentives aux tentatives d’hameçonnage ciblé, escroquerie, extorsion ou atteinte à l’image ou à la réputation ou encore tentatives de piratage des comptes en ligne leur appartenant.

Si votre entreprise a subi une violation de données (si des données personnelles ont été, de manière accidentelle ou illicite, divulguées ou vous avez constaté un accès non autorisé à des données) vous devez le signaler à votre DPO, et en l'absence de DPO à la CNIL dans les 72 heures si cela est susceptible de représenter un risque sécuritaire pour les droits et libertés des personnes concernées. De plus, si ces risques sont élevés pour ces personnes, vous devrez les en informer.