Publicité en cours de chargement...

Publicité en cours de chargement...

Nos sites web dans la lunette des assaillants

20 fév. 2018 - 09:34,
Tribune - Charles Blanc-Rolin
Diffusion de logiciels malveillants, hébergement de pages de phishing, vols d’informations, porte d’entrée dans le système d’information, minage de cryptomonnaies(1)… Les raisons de s’en prendre à nos sites Web ne manquent pas, ainsi que les conséquences désastreuses qui en découlent : atteinte à l’image de l’établissement, perte de confiance de la part des patients, intrusion dans le système d’information, intégrité, disponibilité et confidentialité des données de santé mises à mal, et dans le pire des cas, risques pour la vie des patients. La sécurité de nos sites web n’est donc pas à prendre à la légère.

L’actualité semble nous révéler que les sites web sont dans le collimateur des attaquants. 

Maintenir à jour son serveur Web (système, applicatifs, cms éventuellement) est une action incontournable, mais malheureusement, pas toujours suffisante, et la confiance que l’on peut accorder à des tiers peut parfois s’avérer dangereuse. 

#LAVERITEESTAILLEURS

L’intégration de contenus tiers sur un site web est source de dangers non maîtrisés.
Plusieurs sites gouvernementaux américains, australiens et britanniques en ont récemment fait les frais en faisant miner, à leur insu, de la cryptomonnaie à leurs visiteurs. La source d’infection ne provenait pas des sites eux-mêmes, qui n’avaient pas été corrompus, mais de l’utilisation d’un service commun, BrowseAloud, proposant d’intégrer une fonctionnalité de synthèse vocale sur des pages web, qui lui, en revanche, avait été corrompu et diffusait donc un script malveillant sur l’ensemble de ses sites « clients ».

L’éditeur de solution d’analyse de navigation web Mixpanel a communiqué début février, sur un bug remonté un mois auparavant par un de ses clients. Le bug en question, a permis pendant presque un an, la collecte « accidentelle » de nombreuses informations personnelles sur les sites utilisateurs de ce service et notamment le contenu de champs masqués, tels que les mots de passe saisis sur ces mêmes sites. Mixpanel a indiqué que ce bug était dû à la mise à jour en mars 2017 de la bibliothèque JavaScript React (développée par Facebook), qu’il avait collecté ces informations à son insu, que personne n’avait pu accéder à ces informations et que celles-ci avaient bien évidemment été effacées. Pastebin ou Wikileaks nous diront peut-être le contraire dans les prochains mois... 

#SURLAROUTEDUCRYPTOMINING

Le minage de cryptomonnaie ayant le vent en poupe, il semblerait que plusieurs assaillants aient déjà profité de deux vulnérabilités dans Apache CouchDB pour « apposer » leurs scripts de minage dans de nombreux sites web, comme le rapporte l’éditeur Trend Micro dans un récent article(2).

#DEBROUILLEZVOUS 

Une vulnérabilité avérée(3) dans WordPress, le cms le plus utilisé à ce jour, permet une attaque de type déni de service contre tous les sites web WordPress, puisque l’éditeur refuse tout simplement de reconnaître la faille et recommande à ces utilisateurs d’utiliser des protections anti DDoS, pour ce prémunir de ce type d’attaque, ce qui n’est pas à la porté de toutes les bourses, notamment celles de nos établissements, et qui plus est, ne solutionne pas le problème à mon sens. Pour vous éviter des nuits blanches à espérer que personne ne s’en prenne à votre site, le chercheur à l’origine de cette découverte propose un script(4) permettant d’empêcher l’exploitation de cette vulnérabilité. Ce qui ne protège évidemment pas contre une attaque en déni de service distribué.

Vous pouvez également retrouver quelques pistes pour améliorer la sécurité de votre site web sur le site de l’APSSIS(5).


(1) /article/2832/apres-les-crypto-ransomwares-place-aux-crypto-miners.html

(2) https://blog.trendmicro.com/trendlabs-security-intelligence/vulnerabilities-apache-couchdb-open-door-monero-miners/

(3) https://baraktawily.blogspot.com.ee/2018/02/how-to-dos-29-of-world-wide-websites.html   

     https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389

(4) https://github.com/Quitten/WordPress/blob/master/wp-dos-patch.sh

(5) https://www.apssis.com/actualite-ssi/117/securiser-le-site-web-de-son-etablissement-sans-rien-depenser.htm

Avez-vous apprécié ce contenu ?

A lire également.

ethicovigilance-numerique-premiers-signaux-dalerte-dans-la-sante-connectee

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

contourner-les-regles-faille-cyber-eternelle-et-consubstantielle-a-lespece-humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

larnaque-a-larret-de-travail-comme-source-de-reflexion

L’arnaque à l’arrêt de travail comme source de réflexion

14 avril 2025 - 21:57,

Tribune

-
Cédric Cartau

Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

panorama-forcement-non-exhaustif-du-fleau-des-arnaques-en-ligne-en-ce-debut-2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.