Publicité en cours de chargement...
S’adapter et réagir
DSIH : Heartbleed, c’est quoi ?
Sébastien Aucouturier : Heartbleed est une vulnérabilité qui touche 17 % des serveurs accessibles depuis internet, soit environ un demi-million de serveurs.
DSIH : D’où vient-elle ?
C’est une faille dans l’implémentation SSL/TLS autorisant la lecture d’une partie de la mémoire du serveur ou, plus vulgairement, « un trou de sécurité » dans OpenSSL, une librairie qui gère les échanges client / serveur en chiffrant des informations. Il s’agit de l’ajout d’une fonctionnalité aux mécanismes de chiffrement sans vérification post évolution du maintien de la sécurité effective. Les mécanismes mis en œuvre pour sécuriser la transaction comportent donc une vulnérabilité.
Si celle-ci ne donne pas accès à la machine, elle met en œuvre des mécanismes qui révèlent de l’information sur le site. En lisant cette faille, vous pouvez retrouver des éléments stockés sur le serveur. Parmi ceux-ci : des mots de passe ou des informations sur les bases de données.
DSIH : Ou encore des comptes rendus médicaux ?
Oui ! C’est un peu la loterie ! Cette faille permet de révéler environ 1% de la mémoire de l’ordinateur. Dans ce 1%, vous pouvez certes recueillir des éléments peu « exploitables » mais aussi des comptes rendus d’activité et des bases de données médicales. A ce jour, même s’il n’y a pas eu officiellement de révélations de vol, des sites de voyage et des banques ont été touchés. On évoque plus de 300 000 serveurs concernés.
DSIH : Un site internet lui est dédié. Pourquoi Heartbleed fait-il tant parler ?
Un des problèmes de cette faille vient du fait que si une personne s’introduit dans la mémoire de votre serveur pour récupérer de l’information, vous n’êtes en mesure ni de le savoir, ni de savoir quelles informations se trouvent entre ses mains ! C’est transparent. La personne pourra tranquillement les exploiter ou les revendre. Vous serez informés de l’intrusion uniquement lorsque ces informations auront été révélées, d’où l’urgence de détecter la faille et de la corriger pour éviter qu’elle ne soit exploitée.
DSIH : Est-ce simple de rajouter le mécanisme de détection à la solution ?
Oui, la solution Ikare est suffisamment modulaire et évolutive pour qu’il soit facilement possible de mettre à jour ce genre de failles. Pour les établissements qui ont la solution, celle-ci s’est mise à jour automatiquement !
ITrust participe le mardi 13 mai au Colloque Sécurité de l’Information en Etablissement de Santé organisé par le GCS TéléSanté Centre. ITrust proposera un retour d’expérience sur le top 10 des principales vulnérabilités rencontrées lors de ses audits techniques.
Avez-vous apprécié ce contenu ?
A lire également.
APinnov 2025 : une édition placée sous le signe l’intelligence artificielle
10 juin 2025 - 17:47,
Communiqué
- l’AP-HPLa 21e édition d'APinnov, journée emblématique autour des technologies de l’AP-HP, s’est tenue aujourd’hui sous le thème « Soigner, innover, transférer : la science et la technologie au service du patient ». Près de 480 participants, porteurs de projets, industriels, incubateurs d’entreprises, pépin...
Vu à SantExpo 2025 : Automatiser et revaloriser le codage des séjours hospitaliers grâce à l’interaction du PMSI Dedalus et de l’IA SANCARE
10 juin 2025 - 10:27,
Actualité
- DSIH, Pauline NicolasOptimiser le codage PMSI par l’innovation et l’intelligence artificielle, tel est le message clé de la dernière conférence qui s’est tenue au sein de l’auditorium Dedalus en clôture de cette 59ème édition de SantExpo. Dedalus, leader des solutions PMSI en France, et SANCARE, spécialiste de l’intelli...
IA & éthique du numérique en santé : le guide d’implémentation de l’ANS
09 juin 2025 - 21:17,
Tribune
-Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...
Partenariat Malt-Resah Un levier stratégique pour accéder à l’expertise freelance
09 juin 2025 - 20:54,
Actualité
- DSIH, Damien DuboisLe jeudi 5 juin, Malt et le Resah ont organisé un webinaire commun sur leur partenariat et les opportunités qu’il offre aux projets des adhérents du Resah, lors duquel Xavier Vallin, freelance engagé auprès d’établissements de santé, a fait part de son retour d’expérience.
