Le secteur de la santé : toujours une cible de choix pour les cybercriminels ?

Chose déroutante, ce rapport indique également que 95 % des établissements de santé ont reçu des messages frauduleux provenant d’adresses expéditrices usurpant leurs propres noms de domaines, afin de faire croire qu’il s’agissait de messages internes. Des messages qui pourraient être arrêtés par un filtrage smtp ou une vérification SPF [2], un thème que j’aborde, dans un dossier complet sur la sécurisation de la messagerie dans le dernier numéro de DSIH Magazine [3] (Page 60 & 61).

Ci-dessus, quelques exemples de tentatives d’envois de messages usurpant le nom de domaine de mon établissement, arrêtés grâce à l’utilisation du mécanisme SPF

L’usurpation des noms de domaines des établissements a également servie à tenter de piéger des patients et des partenaires commerciaux, toujours selon ce même rapport qui indique notamment que 45 % des courriels envoyés au quatrième trimestre 2018 par des domaines appartenant à des établissements de santé apparaissaient comme suspects.

Des usurpations, oui, mais pas que !

Nous constatons régulièrement des messages en provenance de messageries légitimes d’établissements de santé qui ont été piratées [4], dans le but d’obtenir l’accès à de nouvelles boîtes légitimes afin d’atteindre encore et toujours plus de victimes potentielles.

Une autre méthode évoquée dans ce rapport, est celle du typosquatting sur les noms de domaines des établissements. La attaquants déposent des noms de domaines très proches des noms originaux dans le but de se faire passer là encore pour un établissement légitimes, en enregistrant par exemple un nom de domaine du type m0n-ch.fr pour mon-ch.fr.

Si la messagerie reste sûrement la porte d’entrée la plus prisée pour tenter de s’introduire dans un système d’information, les chercheurs du laboratoire Safety Detective, ont récemment publié un rapport [5] indiquant que plusieurs hôpitaux utilisaient des systèmes de supervision de températures, vulnérables, exposés sur Internet et accessibles à tous en HTTP avec des mots de passe par défaut, du type 1234. Du pain béni pour les attaquants !

Les chercheurs indiquent qu’ils ont pu facilement interagir avec le système, modifier des valeurs et supprimer des alarmes, simplement depuis un navigateur Web.

Pour rappel, l’achèvement à 100 % du plan d’action SSI décrit dans l’instruction 309 de la DSSIS [6] fait partie des prérequis à atteindre dans le programme Hop’en, dont l’instruction précisant sa mise en œuvre a été mise en ligne le 15 février [7].

[1] https://www.proofpoint.com/sites/default/files/gtd-pfpt-us-tr-healthcare-email-fraud-report.pdf

[2] https://fr.wikipedia.org/wiki/Sender_Policy_Framework

[3] /article/3231/a-la-une-de-dsih-fevrier-l-ia-a-la-conquete-de-la-sante.html

[4] https://www.forum-sih.fr/viewtopic.php?f=5&t=1103

[5] https://www.safetydetective.com/blog/rdm-report/

[6] http://circulaire.legifrance.gouv.fr/pdf/2016/11/cir_41533.pdf

[7] http://circulaire.legifrance.gouv.fr/pdf/2019/02/cir_44396.pdf