Publicité en cours de chargement...

Publicité en cours de chargement...

On ne nous dit pas tout !

20 juin 2017 - 11:12,
Tribune - Charles Blanc-Rolin
Comme tout un chacun, les éditeurs de logiciels ont eux aussi leur petit jardin secret.

Mauvaises pratiques, collecte d’informations sans consentement, laissées volontairement, éventuels accords avec des états… Sans vouloir jouer les « complotistes », il ne faut pas non plus être trop Candide. 

Dans le domaine de la sécurité des systèmes d’information, nombreux sont les éditeurs qui tentent au maximum de mettre la poussière sous le tapis.

#FERMEZLESVOLETSDEVOSWINDOWS

Microsoft n’est pas le dernier dans ce domaine, tout le monde se souvient de la propagation massive du rançongiciel Wannacry, exploitant la vulnérabilité MS17-010 sur le protocole SMB V1 de Windows corrigée en mars et pour laquelle Microsoft a sorti en urgence de ses tiroirs des mises à jour de sécurité pour plusieurs systèmes qui n’étaient plus supportés depuis plusieurs années, dont Windows XP et 2003 Server.
Avec les publications qui « vont bon train » en ce moment, par le (ou les) mystérieux , d’outils d’espionnage de la NSA exploitant de nombreuses vulnérabilités logiciels. Le géant américain a publié dans son dernier « patch Tuesday » des rustines pour par moins de 96 vulnérabilités dont 3 qui étaient exploitées par la NSA.

exploits

Après EternalBlue (MS17-010), je suppose que Microsoft a jugé ses 3 « exploits » (EsteemAudit qui cible RDP, ExplodingCan visant IIS 6.0 et EnglishmanDentist qui s’infiltre dans Exchange) et certaines autres vulnérabilités assez importants pour publier là encore des mises à jour pour XP et 2003
Vous pouvez retrouver les détails ces différents patchs dans .

Si on regarde de plus près, comme pour les patchs sortis en urgence lors de la vague « Wannacry », certains patchs que l’on vient tout juste de nous servir, sont en fait sortis du four au mois de février dernier.

patch sign

Le grand chef Microsoft va-t-il continuer longtemps à conserver dans son garde-manger des patchs pour les « exploits » qui ne sont pas encore annoncés publiquement et nous les servir au fur et à mesure que les vulnérabilités vont être annoncées publiquement ? 

Ces « patchs » servis sur un plateau, nous n’avons plus qu’à aller les picorer pour colmater les fuites sur nos vieux serveurs. Je pense vraiment que si un éditeur comme Microsoft a pris la peine de publier une nouvelle fois des patchs pour XP et 2003, c’est que ça ne sent vraiment pas très bon…
Nous apprendrons sans doute l’année prochaine que ces vulnérabilités sont déjà exploitées depuis un bon moment par d’autres personnes que les membres de la NSA…

Les nombreux dispositifs médicaux s’appuyant sur Windows XP seront-ils eux aussi patchés ? C’est moins sûr… Le niveau de criticité de ces appareils ne fait qu’accroitre.

#LACNILSANCTIONNEDANSLASANTÉ

Dans le secteur de la santé, on ne nous dit pas toujours tout non plus, et le secret médical, n’est pas toujours un argument recevable. Un cabinet dentaire a reçu de la CNIL, une sanction pécuniaire de 10 000€ pour non-respect du droit d’accès et non coopération avec la CNIL. Le cabinet a tout simplement refusé à un patient, l’accès à son dossier. Après réception d’une plainte en novembre 2015 et une mise en demeure pour laquelle elle n’a reçu aucune réponse, la CNIL a décidée de sanctionner le responsable du traitement. Dans un sur le sujet, la Commission rappelle les obligations des professionnels de santé. Elle en a par ailleurs profité pour publier une .

#LASANTÉ1ERSECTEURATTAQUÉ

vectra

Selon un , la santé arriverait en tête des secteurs les plus ciblés par les attaques cyber sur le premier trimestre 2017, avec 164 menaces constatés pour 1000 périphériques, comme le souligne l’éditeur de cette plateforme de détection automatisée des menaces dans son . 

#NOUVELLEGLISSADESURLABANQUISE

Après une au début du mois, le pingouin est victime d’une nouvelle glissade. La société Qualys a annoncée le 19 juin, une nouvelle vulnérabilité baptisée  ()affectant Linux, OpenBSD, NetBSD, FreeBSD et Solaris. Les chercheurs ont trouvé sept façons d’exploiter cette faille avant d’aider les différents éditeurs à la corriger.
Là encore la bonne pratique est évidemment de patcher rapidement. Mais combien d’objets connectés, de matériels « réseau » ou de dispositifs médicaux avec une distribution embarquée ne verront jamais de correctifs de sécurité ?

Au boulot, il y a des mises à jour qui nous attendent !

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le projet eNovA-Path : une plateforme de numérisation et d’échange des données d’anatomopathologie au service des patients en Nouvelle-Aquitaine

Le projet eNovA-Path : une plateforme de numérisation et d’échange des données d’anatomopathologie au service des patients en Nouvelle-Aquitaine

01 juil. 2025 - 00:42,

Actualité

- Propos recueillis par Pauline Nicolas

La création d’une plateforme digitale en anatomopathologie entre les trois CHU de Nouvelle-Aquitaine afin d’améliorer la prise en charge des patients et faciliter l’accès aux expertises entre différents établissements de santé reflète l’ambition et les objectifs du projet eNovA-Path qui se déploie a...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Un nouveau Comex pour le Conseil du numérique en santé

Un nouveau Comex pour le Conseil du numérique en santé

30 juin 2025 - 23:46,

Actualité

- Damien Dubois, DSIH

Le 24 juin, le 13e Conseil du numérique en santé a réuni l’ensemble des parties prenantes en la matière, dans la perspective notamment de l’Espace européen des données de santé.

Illustration Le Groupe Softway Medical accueille Bpifrance à son capital

Le Groupe Softway Medical accueille Bpifrance à son capital

30 juin 2025 - 21:20,

Communiqué

- Le Groupe Softway Medical

Le Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée de Bpifrance, la Banque publique d’investissemen...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.