Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Supply chain attack : risque avéré ou pure délire ?

09 fév. 2021 - 10:06,
Tribune - Charles Blanc-Rolin
Alors que le CERT-FR de l’ANSSI vient de publier son rapport annuel sur l’état de la menace rançongiciels à l’encontre des entreprises et institutions [1], un excellent document de synthèse à conserver dans sa « PDFthèque SSI ». On notera une augmentation de 255 % des signalements d’attaques par rançongiciel en 2020, par rapport à 2019. Un paragraphe sur le secteur de la santé qui rappelle notamment que le rançongiciel Ryuk le cible particulièrement, et qu’il serait responsable de près de 75 % des attaques de ce type ayant été subies par les établissements de santé américains. En France aussi, il a pas mal frappé et pourrait bien revenir à la charge en mettant le « Bazar » dans nos SI. Vous pouvez retrouvez d’autres informations sur Ryuk dans une tribune d’il y a quelques mois [2].

Dans le rapport de l’année dernière [3] (ah oui déjà), les attaques de type « supply chain », comprenez par le biais des prestataires, fournisseurs ou sous-traitants, étaient évoquées au conditionnel :

« Les attaques à l’encontre d’Altran et de Norsk Hydro montrent le danger d’un impact systémique des rançongiciels qui, en ciblant des entreprises sous-traitantes ou clés d’un secteur d’activité, pourraient amener un jour à déstabiliser plusieurs grands groupes (supply chain attack)... »

Cette année, les « supply chain attacks » ont droit à leur petit paragraphe avec notamment :

« Bien que moins fréquentes, les attaques de type supply-chain ne sont pas à omettre. »

L’effet Sunburst [4] peut-être ? Si vous étiez dans une grotte afghane ou auvergnate (il y en a partout...), depuis début décembre, Sunburst est le nom de l’attaque dont l’éditeur SolarWinds et bon nombre de ses clients ont été victimes. Pour rappel, une porte dérobée dont le code était très ressemblant à celui de l’éditeur a été introduite dans la solution de supervision Orion, permettant ainsi aux attaquants de choisir les victimes intéressantes, se balader dans leurs SI et exfiltrer des données. Plus de 18 000 victimes dénombrées, parmi lesquelles, on retrouve, entre autres, le Département de la Défense des États-Unis, le Parlement Européen, l’OTAN, Microsoft, Amazon, Cisco, Qualys, FireEye, CrowdStrike, Palo Alto, Malwarebytes…

S’il ne s’agit pas d’une première du genre, rappelez vous l’affaire Ccleaner en 2017 [5], l’attaque Not Petya [6], diffusé là encore via une backdoor insérée dans le logiciel ukrainien MEDoc, ou encore plus récemment, le piratage du compte Github de la distribution Linux Gentoo [7], servant de base au système CLIP OS de l’ANSSI, pour insérer du code malveillant.

Toutes les attaques de type « supply chain » ne passent pas forcément via une backdoor implantée dans un logiciel, pas besoin d’aller chercher aussi loin. Le compte d’accès VPN compromis d’un prestataire fait très bien l’affaire, et certains établissements de santé français en ont encore fait les frais il n’y a pas si longtemps.

La semaine dernière la société Stormshield et l’ANSSI communiquaient [8] sur une intrusion survenue en décembre chez l’éditeur de sécurité français. Si certains se sont fait des gorges chaudes de l’exfiltration du code source des pares-feu SNS et SNI, je ne pense pas que cela représente un gros risque. En effet, de nombreux systèmes et logiciels libres ont leur code source disponible publiquement, cela n’en fait pas des solutions moins sécurisées, et pour rappel, SNS s’appuie sur le système libre, FreeBSD. Le code source de Windows s’est évaporée lui aussi via l’attaque Sunburst, on ne va pas le désinstaller de nos PC et serveurs pour autant… Même si ce n’est pas moi que ça dérangerait le plus… Par mesure de précaution, Stormshield a publié de nouveaux firmwares et renouvelé le certificat permettant de signer les mises à jour, rien de déconnant, on patche et terminé. Le plus embêtant étant pour la poignée de clients dont les informations sont sorties, avec des informations plus moins sensibles.

Pour résumer, ça n’arrive pas qu’aux autres, nous sommes tous « cybervulnérables », alors soyons  #TOUSCYBERVIGILANTS.


[1] https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-001/

[2] /article/3953/ryuk-le-retour-apres-uhs-et-sopra-steria-le-secteur-de-la-sante-en-ligne-de-mire.html

[3] https://www.cert.ssi.gouv.fr/cti/CERTFR-2020-CTI-001/

[4] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-026/

[5] https://www.silicon.fr/google-microsoft-cisco-cibles-backdoor-ccleaner-184843.html

[6] https://fr.wikipedia.org/wiki/Cyberattaque_NotPetya

[7] https://www.gentoo.org/news/2018/06/28/Github-gentoo-org-hacked.html

[8] https://www.stormshield.com/fr/incident-de-securite-stormshield/

https://www.ssi.gouv.fr/actualite/incident-de-securite-chez-stormshield/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Traçabilité des DMI : votre établissement de santé n’est pas encore en conformité ?

Traçabilité des DMI : votre établissement de santé n’est pas encore en conformité ?

20 oct. 2025 - 14:04,

Communiqué

- Computer Engineering

Pas de panique ! Vous êtes encore nombreux à chercher des solutions dématérialisées pour répondre à l’évolution de la réglementation européenne concernant le suivi renforcé des Dispositifs Médicaux Implantables (DMI).

Illustration L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

17 oct. 2025 - 10:18,

Actualité

- Rédaction, DSIH

L’Agence régionale de santé (ARS) Pays de la Loire, en partenariat avec la Caisse primaire d’assurance maladie (CPAM) de la Mayenne et le groupement e-santé régional, a présenté la feuille de route du numérique en santé 2025-2026.

Illustration Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

13 oct. 2025 - 19:56,

Communiqué

- CHU de Reims

Le Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Illustration Accès au DPI et secret médical : un professionnel de santé ne peut tout voir, même en équipe

Accès au DPI et secret médical : un professionnel de santé ne peut tout voir, même en équipe

13 oct. 2025 - 11:17,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

L’accès aux dossiers patients informatisés (« DPI ») dans le respect du secret médical est une question épineuse à laquelle sont confrontés, au quotidien, les professionnels de santé. Dans une récente affaire, le Conseil d’Etat s’est prononcé sur le cas de l’accès aux DPI d’un service médical hospit...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.