Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Covid-19 : évitons aussi la pandémie numérique

24 mars 2020 - 09:48,
Tribune - Charles Blanc-Rolin
Pendant que certains apprécient les vacances, les barbecues en famille, le jogging au petit matin, vont faire les courses trois fois jour, sillonnent les routes de France en voitures ou en camping-car au lieu de rester chez eux (c’est un fait, je les croise tous les matins en me rendant à l’hôpital), des malades meurent. Alors, il est difficile de se plaindre dans ce contexte, même si nous sommes exposés, que notre santé physique et mentale en prend un coup parce que nous redoublons d’efforts tous les jours en ces temps difficiles, que nous sommes amenés à faire de nombreuses tâches supplémentaires en plus de notre travail habituel pour anticiper au mieux la suite des évènements tout en assumant le quotidien.

COVID19

Même si de nombreux articles ont annoncé que les cybercriminels allaient « foutre la paix » aux hôpitaux pendant la crise, comme celui en date du 18 mars publié sur le site Bleeping Computers [1], qui me fait l’effet d’un poisson d’avril en avance, je pense qu’il faut vraiment arrêter de croire aux licornes. Même si tout le monde n’a pas un « hack’cœur de pierre », l’occasion est trop belle pour s’en priver. La preuve en est, même les commerciaux nous harcèlent pour nous proposer leurs solutions, gratuitement parfois, mais pas toujours.
À tous les éditeurs du secteur de la cyber, naïfs généreux pour certains, ou franchement hypocrites pour d’autres, qui proposent leurs solutions gratuitement aux hôpitaux pendant la crise, tout en sachant que nous n’en bénéficieront pas, car ce n’est pas le moment de refaire son toit quand l’orage gronde. Si vous voulez vraiment aider les hôpitaux, venez nous voir quand la crise sera terminée et dites-nous, on vous propose gratuitement notre solution pour les dix prochaines années ;-) 

Les règlements de comptes étant terminés, voyons un peu comment se prémunir de la pandémie numérique qui nous menace.
La semaine dernière, plusieurs établissements de santé français ont eu droit à de jolies campagnes d’hameçonnage, en provenance parfois de messageries d’autres établissements qui s’étaient déjà fait avoir. Un classique me direz-vous, puisque nous observons cette campagne depuis bientôt deux ans, mais cette fois-ci, la petite touche « COVID-19 » s’invite à la fête, pour inciter les destinataires à cliquer :

Cette campagne ne semble pas être l’exception qui confirme la règle, puisque dans un article publié le 20/03/2020 [2], l’éditeur Bitdefender annonce que les attaques en lien avec le Coronavirus explosent ces dernières semaines et ciblent principalement les hôpitaux, le secteur de la santé et les gouvernements. On nous aurait menti ? Cerise confite dans l’eau de vie qui râpe la gorge, le pays le plus attaqué est l’Italie. Tels une meute de loups, les attaquants s’en prennent une nouvelle fois aux proies les plus faibles.

La sensibilisation est donc une nouvelle fois de rigueur ! #TOUSCYBERVIGILANTS
Sensibiliser, c’est important, mais il ne faut surtout pas oublier de patcher ! En particulier les services exposés sur Internet !
En cette période propice au télétravail, si vous n’avez pas encore patché vos passerelles Citrix [3], autant dire qu’il y a très peu de chances que vous ne soyez pas déjà infiltré… Ne souriez pas, il y en a encore qui se font pwner… Si vous voulez vous faire peur, Citrix propose un outil permettant de savoir si vous avez des télétravailleurs non invités [4].
Même combat, si vous avez encore du VPN PulseSecure non patché [5] !

Et si vous avez un Webmail Exchange non patché exposé sur Internet, là encore, que du bonheur !
Des scans sont observés depuis un mois [6] et des POCs permettant d’exploiter la vulnérabilité CVE-2020-0688 sont déjà disponibles depuis 3 semaines [7]. Un script d’exploitation est d’ailleurs intégré au framework Metasploit [8], permettant d’obtenir un shell Meterpreter avec des droits système sur le serveur, rien que ça !

D’accord, il faut le login et le mot de passe d’un utilisateur pour l’exploiter, mais nous avons vu précédemment, qu’avec un petit phishing bien placé le tour était joué !

Là encore, si vous n’avez pas patché, il faut se dépêcher ! Attention, seules les dernières versions CU sont susceptibles de recevoir les correctifs publiés le mois denier par Microsoft [voir 6 aussi].

#FERMEZLESPORTES

Vendredi, je suis tombé sur un partage intéressant, une liste actualisée régulièrement, qui recense tous les noms de domaine et enregistrements DNS comprenant les mots coronavirus, covid, covid-19, covid19… [9] Alors, fermer les portes et ne débloquer que les domaines nécessaires à la demande peut s’avérer être une bonne idée [10] !

Pour bien confirmer que personne ne risque de s’en prendre aux hôpitaux français, l’AP-HP a été victime dimanche 22 mars, d’une attaque DDOS ayant durée plus d’une heure [11].

Pour terminer en beauté, Mozilla est obligé de faire marche arrière et ne pas désactiver TLS 1.0 et 1.1 dans Firefox, tellement les sites institutionnels susceptibles de diffuser des informations critiques sur le Coronavirus sont obsolètes…. [12] Ce n’est pas moi qui l’ai dit !

Mention spéciale pour l’employé d’un éditeur du secteur de la santé qui devait avoir peur que tous ses clients s’ennuient en cette période de crise, et qui a « juste » oublié que le certificat racine de son autorité de certification arrivait à expiration le 22 mars, et que même si les certificats enfants avaient une validité de 10 ans, ça n’allait plus fonctionner ! Vraiment merci, de m’avoir permis de passer une soirée de plus à l’hôpital à mettre à jour nos serveurs avec l’aide d’un de ses collègues. J’espère d’ailleurs que ses collègues sauront le remercier, je ne veux pas m’avancer, mais je crois que c’est le mec avec la Clio grise qui se gare toujours au fond du parking.

 Si quelqu’un veut ma place, je veux bien #RESTERCHEZMOI ou chez lui...


[1] https://www.bleepingcomputer.com/news/security/ransomware-gangs-to-stop-attacking-health-orgs-during-pandemic/

[2] https://labs.bitdefender.com/2020/03/5-times-more-coronavirus-themed-malware-reports-during-march/

[3] https://www.citrix.com/blogs/2020/01/22/update-on-cve-2019-19781-fixes-now-available-for-citrix-sd-wan-wanop/

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-002/

[4] https://github.com/citrix/ioc-scanner-CVE-2019-19781/

[5] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-001/

[6] https://www.forum-sih.fr/viewtopic.php?f=78&t=742&p=5652#p5619

[7] https://www.volexity.com/blog/2020/03/06/microsoft-exchange-control-panel-ecp-vulnerability-cve-2020-0688-exploited/

https://github.com/Ridter/cve-2020-0688

https://github.com/Yt1g3r/CVE-2020-0688_EXP

[8] https://github.com/rapid7/metasploit-framework/pull/13014

[9] https://1984.sh/covid19-domains-feed.txt

[10] https://www.forum-sih.fr/viewtopic.php?f=5&t=1395#p5666

https://cyberveille-sante.gouv.fr/cyberveille-sante/1697-un-site-reference-les-domaines-utilisant-les-mots-coronavirus-covid19-ou

[11] https://www.zdnet.fr/actualites/l-ap-hp-visee-par-une-attaque-ddos-39901161.htm

[12] https://www.mozilla.org/en-US/firefox/74.0/releasenotes/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,

Tribune

- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.