Retour sur 2019

L’année 2019 a propulsée la sécurité des systèmes d’informations de santé dans une nouvelle dimension. En ce début d’année, l’heure est au bilan. Alors jetons un œil dans le rétroviseur de la DeLoreane et revenons sur les faits marquants de l’année qui vient de s’écouler !

#RIPWINDOWS7

L’année 2019 marque tout d’abord la fin de vie du très populaire système d’exploitation Windows 7 après dix ans de « bons et loyaux » services, puisque son dernier correctif de sécurité mensuel a été publié le 10 décembre.
Une année marathon donc, pour finir de migrer l’ensemble de son parc PC vers Windows 10. Nous pourrons dire que le pari est réussi si plus aucun poste ne démarre sous Windows 7, le mercredi 15 janvier au matin.
De nouveaux dispositifs médicaux viendront également s’ajouter à la liste des DM dont le système n’est plus supporté. N’oublions pas non plus l’ensemble des serveurs exécutant un système Windows Server 2008 ou 2008 R2, qui atteindront leur date de péremption le 14 janvier prochain.

#DDOSSANCTIONNÉ

En janvier, nous apprenions la condamnation aux États-Unis¹, d’un hacktiviste à une peine de 10 ans de prison, ainsi qu’à verser une somme 443 000$ de dommages et intérêts aux établissements de santé victimes de son attaque par déni de service distribué (DDoS). Un jugement qui aura créé un précédent dans la qualification juridique de ce type d’acte cyber-malveillant.

#COLLECTION1

Mi-janvier, toujours, le chercheur Troy Hunt annonçait la mise à disposition publique sur le site Mega.nz d’une gigantesque collection de plus de 12 000 fichiers contenant des couples adresse de messagerie / mot de passe en provenance de diverses fuites de données plus ou moins récentes, mais potentiellement toujours utilisés. 773 millions d’adresses de courriels concernées, plus d’un milliard de combinaisons adresses / mot de passe uniques, soit plusieurs mots de passe pour une partie des utilisateurs (eux au moins, n’utilisent pas le même partout...), plus de 3 millions de français concernés et 16 000 adresses appartenant à des professionnels de santé français !²

#DICOMTOUTPÉTÉ

Le standard de gestion numérique des données issues de l’imagerie médicale a été malmené par les chercheurs ! Markel Picado Ortiz (@D00RT_RM) a démontré qu’il était possible de profiter du préambule de 128 octets libres du standard DICOM afin de transformer un cliché numérique en un fichier polyglotte, permettant d’exécuter du code sur un système Windows³.

Le Docteur Yisroel Mirsky de l’Université Cornell en Israël a quant lui développé un algorithme permettant de modifier des images DICOM en y ajoutant / supprimant automatiquement des nodules cancéreux⁴. L’exploitation de cette vulnérabilité a été mise en scène dans une vidéo qui a de quoi faire froid dans le dos à n’importe quel RSSI du secteur de la santé !

#JURASSICPACS

Comment résister à ne pas reprendre cet excellent titre imaginé par Pascal Sabatier, RSSI du GHT des Alpes-de-Haute-Provence.
Mi-septembre, la société allemande Greenbone Networks, spécialisée dans l’analyse de vulnérabilités publiait un rapport révélant que les données de santé de plus de 24 millions de patients réparties dans 52 pays, dont la France, étaient accessibles publiquement via des serveurs PACS en mode « open bar » exposés directement sur Internet⁵.

#CYBERVICTIMESDELASANTÉ

La liste des victimes du secteur de la santé en France s’est encore agrandie. Rançongiciels et autres logiciels malveillants ont paralysés les SIH de plusieurs établissements de santé, comme le CH de Condrieu, d’Issoudun ou encore le CH Delafontaine à Saint-Denis, et comme ça n’arrive pas qu’aux autres, les grands établissements n’ont pas été épargnés eux non plus, comme le CHU de Montpelier, le CHU de Rouen, ainsi que le groupe Ramsay Santé, mais également le groupe de laboratoires Eurofins. Sans oublier toutes les victimes dont la presse n’a pas parlé.

#AMENDESRGPD

Après la condamnation pour non-respect du RGPD d’un hôpital portugais à une amende de 400 000€ en octobre 2018, l’année 2019 a vu fleurir 3 nouvelles sanctions contre des établissements de santé. En mars, un hôpital chypriote a été condamné à une amende de 5 000€, en juillet, un hôpital hollandais a dû s’acquitter d’une amende 460 000€ et pour finir, un hôpital allemand s’est vu infligé une amende de 105 000€ début décembre⁶.

#DESMALWARESTOUJOURSPLUSÉVOLUÉS

Fin février, Jean-Ian Boutin, chercheur chez ESET revenait en détails sur Lojax⁷, un logiciel malveillant extrêmement persistant de type rootkit, capable de compromettre depuis un système Windows, le firmware UEFI d’un PC (une première) et par conséquent de redéployer à l’infini son code malveillant même après un reformatage ou un changement de disque, un véritable cauchemar pour la DSI.

Le cheval de Troie polymorphe Emotet⁸ (à l’origine bancaire), est capable, au-delà de la récupération de données d’authentification sur des sites de diverses banques, de recueillir les identifiants et mots de passe d’un annuaire Active Directory. Observé pour la première fois en 2014, il a fait énormément de victimes en 2019, dont le CHU de Montpellier. Il aurait également servi de « point d’entrée » pour le déploiement du rançongiciel Ryuk⁹.

Le très lucratif rançongiciel Ryuk né en février 2017 a fait son grand retour en 2019 avec de nouvelles fonctionnalités¹⁰, telles que l’analyse du cache ARP pour trouver des plages de réseaux locaux à scanner et cibler un maximum de machines, ou encore l’utilisation du protocole Wake on Lan pour réveiller les machines éteintes qui sont connectées au réseau et augmenter sa surface d’attaque.

La famille de rançongiciels CryptoMix a également fait pas mal de dégâts, notamment avec son petit dernier Clop¹¹, qui a sévi au CHU de Rouen. Un joli programme là encore avec l’arrêt des services Windows de différents antivirus, systèmes de gestion de base de données et de logiciels de sauvegarde, suppression des copies cachées de Windows (Volume Shadow Copies) permettant la réparation automatique de Windows, modification de plusieurs clés de registres afin de désactiver Windows Defender, désinstallation de Microsoft Security Essential sur les systèmes Windows vétustes, désinstallation de la solution Malwarebytes Anti-Ransomware, et le tout, si possible avec un compte administrateur du domaine s’il réussit à compromettre l’annuaire Active Directory afin de se déployer massivement sur le SI.

Toujours dans l’innovation, l’auteur du rançongiciel Snatch¹² a eu une idée assez intéressante : redémarrer Windows en mode sans échec afin de pouvoir chiffrer tranquillement les fichiers présents sur la machine dans une seconde étape, sans être gêné par les diverses solutions de sécurité installées sur la machine.

#DESVULNÉRABILITÉSÀLAPELLE

Même si le nombre de CVE publiées pour l’année 2019 est légèrement inférieur à ceux des deux années précédentes, il reste malgré tout très important.

Parmi les vulnérabilités qui auront marqué 2019, nous retrouvons évidement BlueKeep¹³ et la collection DejaBlue¹⁴ permettant de réaliser une exécution de code arbitraire à distance sur un serveur RDS Windows dans la phase de pré-authentification.

Neuf vulnérabilités¹⁵ permettant d’exécuter du code arbitraire sur un serveur hôte Hyper-V depuis une machine virtuelle ont été corrigées par Microsoft.

La collection de 11 vulnérabilités baptisée URGENT/11 affectant de nombreux systèmes d’exploitations embarqués utilisant la pile réseau IPnet, dont le système VxWorks est le plus connu, permet d’exécuter du code arbitraire à distance. Le système VxWorks édité par la société WindRiver est le socle numérique embarqué de nombreux appareils et notamment des dispositifs médicaux, mais aussi des pares-feux.

Les navigateurs Web n’ont pas été épargnés non plus, avec des vulnérabilités permettant d’exécuter du code arbitraire à distance activement exploitées dans Chrome¹⁶, Edge et Internet Explorer¹⁷ ainsi que Firefox¹⁸.

N’oublions pas non plus la jolie vulnérabilité dans Exchange pouvant potentiellement permettre une prise de contrôle de l’annuaire Active Directory¹⁹.

#TOUSCYBERVIGILANTS

L’année s’est finie en beauté avec la campagne cybersécurité [20] lancée le 28 novembre lors de l’étape parisienne du Tour de France de la e-santé, par Madame la Ministre Agnès Buzyn en personne qui s’est emparée du sujet pour la plus grande satisfaction des RSSI du secteur de la santé.

L’année 2019 est terminée ! Nous commençons donc une nouvelle année, une nouvelle décennie, armés de nos expériences passées, et Dieu sait, que nous en auront bien besoin pour protéger nos SI de santé. Bonne année !

¹ https://www.dsih.fr/article/3204/attaques-ddos-premieres-sanctions-exemplaires-prononcees.html

² https://www.dsih.fr/article/3225/alerte-fuite-de-donnees-16-000-adresses-mails-de-professionnels-de-sante-francais-concernees.html

³ https://www.dsih.fr/article/3338/une-image-dicom-infectee-par-du-code-malveillant-oui-c-est-possible.html

⁴ https://www.dsih.fr/article/3327/alteration-des-donnees-d-imagerie-medicale-pour-faire-croire-a-un-cancer-qu-en-est-il-reellement.html

⁵ https://www.greenbone.net/wp-content/uploads/CyberResilienceReport_EN.pdf

⁶ https://www.cyberveille-sante.gouv.fr/cyberveille-sante/1535-un-hopital-allemand-condamne-105-000-euros-damende-pour-non-respect-du-rgpd

⁷ https://www.dsih.fr/article/3272/lojax-ce-malware-qui-s-incruste-et-dont-on-peut-difficilement-se-debarrasser.html

⁸ https://www.kroll.com/en-ca/insights/publications/cyber/malware-analysis-emotet-resurgence-evolution

⁹ https://www.kryptoslogic.com/blog/2019/01/north-korean-apt-and-recent-ryuk-ransomware-attacks/

¹⁰ https://www.crowdstrike.com/blog/wizard-spider-adds-new-feature-to-ryuk-ransomware/

¹¹ https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/

¹² https://news.sophos.com/en-us/2019/12/09/snatch-ransomware-reboots-pcs-into-safe-mode-to-bypass-protection/