Publicité en cours de chargement...
Le printemps est là, mais toujours pas de beaux jours côté sécurité
A quelques heures du grand top départ du cinquième congrès de la sécurité des systèmes d’informations de santé, je vous propose un petit tour de l’actualité SSI du moment.
Effectivement, si le printemps ose enfin pointer le bout de son nez, côté sécurité ce n’est pas vraiment ça…
Commençons tout d’abord avec une « vulnérabilité » Windows qui fait le « buzz » (exagérément) depuis un peu plus d’une semaine, le fameux « Double Agent » révélé par la société Cybellum.
Les chercheurs annoncent la possibilité d’injecter du code par le biais d’une DLL [1] dans n’importe quel processus démarré sur un système Windows (de XP à W10).
Pour étayer leurs dires, ils ont réalisé cette fameuse attaque sur les processus de plusieurs antivirus du marché.
En vérité cette « fameuse faille » n’est autre qu’une fonctionnalité de « debug » pour les développeurs d’application qui ne peut être exécutée qu’avec un compte à hauts privilèges et qui peut être désactivée. Pas aussi terrible que ça me direz-vous, mais c’est tout de même un bon rappel à l’ordre sur le fait que la configuration des postes est importante et qu’être connecté en tant qu’administrateur local de sa machine représente un risque majeur en cas d’exécution de code malveillant. Faites passer le mot aux éditeurs du secteur de la santé qui développent encore des applications imposant le plus haut niveau de privilèges pour fonctionner ;-)
Plus embarrassant, des chercheurs chinois viennent de découvrir une vulnérabilité sur IIS 6.0, le serveur Web de Microsoft, présent sur les serveurs Windows 2003 server. Cette vulnérabilité ne sera bien entendu pas corrigée, ce système n’étant plus supportée par Microsoft depuis presque deux ans. Des serveurs hébergeant des sites ou des applications Web, mais aussi le webmail Outlook Web Access… De nombreux serveurs connectés à Internet sont impactés, presque 4000 en France selon Damien Bancal. Si vous avez encore un serveur sous 2003 server, voici donc un nouvel argument pour penser à migrer rapidement….
Petit dernier qui m’a beaucoup fait rire (l’article bien sûr, le news en elle-même me faire rire plutôt jaune, même si ça n’a rien d’étonnant). L’article est intitulé « Un lave-vaisselle connecté permet de pirater le réseau informatique des hôpitaux ». Il s’avère en fait d’un laveur utilisé par les établissements de santé pour assurer le nettoyage des instruments chirurgicaux sur lequel un chercheur en sécurité vient de trouver une faille permettant d’infiltrer un réseau par le biais de ce laveur. Cette trouvaille rappelle une nouvelle fois l’importance de segmenter ses réseaux et d’isoler les dispositifs médicaux souvent très vulnérables.
Pour celles et ceux qui auront la chance d’être eux aussi au Mans cette semaine, je vous souhaite un excellent congrès !
[1] Bibliothèque de fonctions pouvant être chargées en mémoire par un processus
Avez-vous apprécié ce contenu ?
A lire également.

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)
29 juil. 2025 - 11:09,
Actualité
-Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...