Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Covid-19 : évitons aussi la pandémie numérique

24 mars 2020 - 09:48,
Tribune - Charles Blanc-Rolin
Pendant que certains apprécient les vacances, les barbecues en famille, le jogging au petit matin, vont faire les courses trois fois jour, sillonnent les routes de France en voitures ou en camping-car au lieu de rester chez eux (c’est un fait, je les croise tous les matins en me rendant à l’hôpital), des malades meurent. Alors, il est difficile de se plaindre dans ce contexte, même si nous sommes exposés, que notre santé physique et mentale en prend un coup parce que nous redoublons d’efforts tous les jours en ces temps difficiles, que nous sommes amenés à faire de nombreuses tâches supplémentaires en plus de notre travail habituel pour anticiper au mieux la suite des évènements tout en assumant le quotidien.

COVID19

Même si de nombreux articles ont annoncé que les cybercriminels allaient « foutre la paix » aux hôpitaux pendant la crise, comme celui en date du 18 mars publié sur le site Bleeping Computers [1], qui me fait l’effet d’un poisson d’avril en avance, je pense qu’il faut vraiment arrêter de croire aux licornes. Même si tout le monde n’a pas un « hack’cœur de pierre », l’occasion est trop belle pour s’en priver. La preuve en est, même les commerciaux nous harcèlent pour nous proposer leurs solutions, gratuitement parfois, mais pas toujours.
À tous les éditeurs du secteur de la cyber, naïfs généreux pour certains, ou franchement hypocrites pour d’autres, qui proposent leurs solutions gratuitement aux hôpitaux pendant la crise, tout en sachant que nous n’en bénéficieront pas, car ce n’est pas le moment de refaire son toit quand l’orage gronde. Si vous voulez vraiment aider les hôpitaux, venez nous voir quand la crise sera terminée et dites-nous, on vous propose gratuitement notre solution pour les dix prochaines années ;-) 

Les règlements de comptes étant terminés, voyons un peu comment se prémunir de la pandémie numérique qui nous menace.
La semaine dernière, plusieurs établissements de santé français ont eu droit à de jolies campagnes d’hameçonnage, en provenance parfois de messageries d’autres établissements qui s’étaient déjà fait avoir. Un classique me direz-vous, puisque nous observons cette campagne depuis bientôt deux ans, mais cette fois-ci, la petite touche « COVID-19 » s’invite à la fête, pour inciter les destinataires à cliquer :

Cette campagne ne semble pas être l’exception qui confirme la règle, puisque dans un article publié le 20/03/2020 [2], l’éditeur Bitdefender annonce que les attaques en lien avec le Coronavirus explosent ces dernières semaines et ciblent principalement les hôpitaux, le secteur de la santé et les gouvernements. On nous aurait menti ? Cerise confite dans l’eau de vie qui râpe la gorge, le pays le plus attaqué est l’Italie. Tels une meute de loups, les attaquants s’en prennent une nouvelle fois aux proies les plus faibles.

La sensibilisation est donc une nouvelle fois de rigueur ! #TOUSCYBERVIGILANTS
Sensibiliser, c’est important, mais il ne faut surtout pas oublier de patcher ! En particulier les services exposés sur Internet !
En cette période propice au télétravail, si vous n’avez pas encore patché vos passerelles Citrix [3], autant dire qu’il y a très peu de chances que vous ne soyez pas déjà infiltré… Ne souriez pas, il y en a encore qui se font pwner… Si vous voulez vous faire peur, Citrix propose un outil permettant de savoir si vous avez des télétravailleurs non invités [4].
Même combat, si vous avez encore du VPN PulseSecure non patché [5] !

Et si vous avez un Webmail Exchange non patché exposé sur Internet, là encore, que du bonheur !
Des scans sont observés depuis un mois [6] et des POCs permettant d’exploiter la vulnérabilité CVE-2020-0688 sont déjà disponibles depuis 3 semaines [7]. Un script d’exploitation est d’ailleurs intégré au framework Metasploit [8], permettant d’obtenir un shell Meterpreter avec des droits système sur le serveur, rien que ça !

D’accord, il faut le login et le mot de passe d’un utilisateur pour l’exploiter, mais nous avons vu précédemment, qu’avec un petit phishing bien placé le tour était joué !

Là encore, si vous n’avez pas patché, il faut se dépêcher ! Attention, seules les dernières versions CU sont susceptibles de recevoir les correctifs publiés le mois denier par Microsoft [voir 6 aussi].

#FERMEZLESPORTES

Vendredi, je suis tombé sur un partage intéressant, une liste actualisée régulièrement, qui recense tous les noms de domaine et enregistrements DNS comprenant les mots coronavirus, covid, covid-19, covid19… [9] Alors, fermer les portes et ne débloquer que les domaines nécessaires à la demande peut s’avérer être une bonne idée [10] !

Pour bien confirmer que personne ne risque de s’en prendre aux hôpitaux français, l’AP-HP a été victime dimanche 22 mars, d’une attaque DDOS ayant durée plus d’une heure [11].

Pour terminer en beauté, Mozilla est obligé de faire marche arrière et ne pas désactiver TLS 1.0 et 1.1 dans Firefox, tellement les sites institutionnels susceptibles de diffuser des informations critiques sur le Coronavirus sont obsolètes…. [12] Ce n’est pas moi qui l’ai dit !

Mention spéciale pour l’employé d’un éditeur du secteur de la santé qui devait avoir peur que tous ses clients s’ennuient en cette période de crise, et qui a « juste » oublié que le certificat racine de son autorité de certification arrivait à expiration le 22 mars, et que même si les certificats enfants avaient une validité de 10 ans, ça n’allait plus fonctionner ! Vraiment merci, de m’avoir permis de passer une soirée de plus à l’hôpital à mettre à jour nos serveurs avec l’aide d’un de ses collègues. J’espère d’ailleurs que ses collègues sauront le remercier, je ne veux pas m’avancer, mais je crois que c’est le mec avec la Clio grise qui se gare toujours au fond du parking.

 Si quelqu’un veut ma place, je veux bien #RESTERCHEZMOI ou chez lui...


[1] https://www.bleepingcomputer.com/news/security/ransomware-gangs-to-stop-attacking-health-orgs-during-pandemic/

[2] https://labs.bitdefender.com/2020/03/5-times-more-coronavirus-themed-malware-reports-during-march/

[3] https://www.citrix.com/blogs/2020/01/22/update-on-cve-2019-19781-fixes-now-available-for-citrix-sd-wan-wanop/

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-002/

[4] https://github.com/citrix/ioc-scanner-CVE-2019-19781/

[5] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-001/

[6] https://www.forum-sih.fr/viewtopic.php?f=78&t=742&p=5652#p5619

[7] https://www.volexity.com/blog/2020/03/06/microsoft-exchange-control-panel-ecp-vulnerability-cve-2020-0688-exploited/

https://github.com/Ridter/cve-2020-0688

https://github.com/Yt1g3r/CVE-2020-0688_EXP

[8] https://github.com/rapid7/metasploit-framework/pull/13014

[9] https://1984.sh/covid19-domains-feed.txt

[10] https://www.forum-sih.fr/viewtopic.php?f=5&t=1395#p5666

https://cyberveille-sante.gouv.fr/cyberveille-sante/1697-un-site-reference-les-domaines-utilisant-les-mots-coronavirus-covid19-ou

[11] https://www.zdnet.fr/actualites/l-ap-hp-visee-par-une-attaque-ddos-39901161.htm

[12] https://www.mozilla.org/en-US/firefox/74.0/releasenotes/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Illustration Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

02 juin 2025 - 15:00,

Communiqué

- GPLExpert

GPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.