"Zero day", cette faille imparable à l'origine de la cyberattaque des hôpitaux de Paris

L'assistance publique hôpitaux de Paris (AP-HP) a subi début septembre une cyberattaque qui a permis aux hackers de dérober les tests Covid de 1,4 million de Franciliens avec toutes les données personnelles qui les accompagnaient. Leur méthode : l'exploitation d’une faille dite « zero day » sur un logiciel interne. Un type de vulnérabilité qui rend l'attaque pratiquement imparable, particulièrement utilisé par les cybercriminels en 2021. Explications.
François Manens

6 mn

(Crédits : © Philippe Wojazer / Reuters)

Le 15 septembre, l'assistance publique hôpitaux de Paris (AP-HP), le CHU d'Île-de France, faisait état d'un important incident de sécurité informatique. Des pirates ont réussi à se procurer les données issues des tests Covid d'1,4 million de Franciliens, effectués au cours de l'été 2020. Avec, pour chaque victime, une liste longue comme le bras de données compromettantes : numéro de sécurité sociale, nom, prénom, date de naissance, sexe, numéro de téléphone, adresse email, adresse postale ou encore le type de test effectué et son résultat.

Le groupe hospitalier s'est montré avare en détails sur l'incident et s'est restreint au strict minimum légal : avertir les personnes concernées et prévenir les autorités compétentes comme le gendarme de la vie privée, la Cnil, et celui des attaques informatiques, l'Anssi. Ce n'est que six jours plus tard, le 21 septembre que Le Monde démêlait les détails techniques de l'affaire.

L'attaque « zero day », presque imparable

Au centre de l'incident se trouvait une faille du logiciel « Dispose », utilisé par les employés du groupement hospitalier pour partager des fichiers entre eux. Créé et hébergé par l'AP-HP,  « Dispose » est en réalité une version personnalisée d'un autre logiciel, « HCP Anywhere », édité par l'entreprise japonaise Hitachi. Bien que les caractéristiques précises de la vulnérabilité restent à ce jour inconnues, elle aurait permis d'accéder à la page de téléchargement des données échangées, où se seraient servis les pirates.

D'après Le Monde, le vol s'appuierait sur une faille de type « zero day ». Dans le jargon, on qualifie de « zero day » une vulnérabilité logicielle inconnue de son éditeur. Ce terme a de quoi faire frissonner les équipes de sécurité. La raison ? Le plus souvent, ces failles sont présentes et donc exploitables dans toutes les versions du logiciel. Autrement dit, pour les hackers qui trouvent une façon d'en abuser, le « zero day » transforme le logiciel en vecteur d'attaque potentiel sur des milliers de machines. Pis, c'est une méthode d'attaque inconnue des défenseurs, et donc pratiquement imparable.

Pour s'en protéger, il n'existe que deux solutions : trouver une rustine temporaire -par exemple en désactivant le programme vulnérable-, ou attendre que l'éditeur publie un correctif destiné à fermer la faille. Mais pour que ces mesures soient d'une quelconque utilité, les entreprises doivent être averties de l'existence de la « zero day » avant que des hackers ne l'aient exploitée... ce qui n'était pas le cas de l'AP-HP au moment de la cyberattaque.

Des « zero day » à prix d'or pour frapper fort

L'utilisation d'une « zero day » dans cette affaire surprend plusieurs spécialistes du secteur. Et pour cause : lorsque les hackers exploitent une « zero day », ils s'exposent au risque qu'elle soit découverte puis corrigée. Ainsi, ils perdent non seulement l'effet de surprise de l'attaque sur d'autres victimes, mais surtout, elle cesse d'être imparable. Autrement dit, lorsque des hackers mettent la main sur une « zero day », ils tentent généralement d'en tirer le maximum d'argent en faisant le plus gros coup possible, afin de ne pas griller leur avantage pour rien.

Bien que les fichiers des 1,4 million de patients de l'AP-HP aient un intérêt certain -par exemple pour alimenter des campagnes de messages d'arnaque-, ils ne semblent pas représenter une valeur stratégique ou financière suffisante pour justifier l'utilisation d'une « zero day » aux yeux des experts.

Il faut, en effet, avoir à l'esprit que ces vulnérabilités peuvent facilement s'échanger contre de larges montants d'argent, selon leurs effets potentiels et l'intérêt du logiciel qu'elles permettent de détourner. Résultat : les vendeurs ne manquent pas. Frank Breedijk, chercheur au Dutch Institute for Vulnerability Disclosure (DIVD) -un organisme bénévole spécialisé dans la prévention et la découverte de vulnérabilités- le constate tous les jours :

« Si vous divulguez une vulnérabilité "zero day" directement à un éditeur, vous n'aurez le plus souvent aucune rétribution. A l'inverse, des entreprises qui achètent et revendent les vulnérabilités, comme Zerodium, sont prêtes à dépenser plusieurs dizaines de milliers d'euros pour obtenir votre "zero day". Et sur les marchés noirs, on peut vous offrir jusqu'à 50 BTC [1,8 million d'euros, ndlr] ». Il ajoute : « Dans ma jeunesse, j'aurais pu me laisser tenter par une offre de 5.000 euros. »

Kaseya, Pegasus, Microsoft Exchange : les « zero day » partout en 2021

Les récompenses attirent les hackers et les incitent à rechercher de nouvelles failles. Après avoir croisé plusieurs sources, le MIT Technology Review estime à 66 le nombre de failles zero day exploitées en 2021, ce qui en fait déjà de loin l'année record, à plus du double de l'année précédente. Entre autres, ces failles ont porté sur des produits d'Apple (dans l'affaire Pegasus) mais aussi de Microsoft, deux des plus gros éditeurs de logiciels. Ou encore, une « zero day » a permis à un gang de rançonner des milliers de clients de l'entreprise américaine Kaseya.

Pour autant, les experts n'interprètent pas ce record comme une mauvaise nouvelle. Certes, d'un côté, il pourrait être dû à une augmentation du nombre de cyberattaques (connues et inconnues). Mais d'un autre côté, ce pourrait aussi être le signe que l'écosystème de la cybersécurité s'est amélioré dans la détection de l'exploitation de nouvelles failles. Et ce n'est pas tout : le pic de failles démontrerait également que les cybercriminels ne peuvent plus se contenter d'exploiter des vulnérabilités déjà corrigées.

Bon nombre de grandes entreprises du secteur (Google, Kaspersky, Microsoft, FireEye, CrowdStrike, Intel...) ont constitué des équipes dédiées à la traque des campagnes de cyberattaques. Ces unités réunissent des dizaines de spécialistes, fournis en matériel de pointe, pour un gain quasi nul pour l'entreprise (en dehors du prestige). En revanche, chacune de ces équipes participe à la sécurisation du cyberespace.

Reste que si la publication d'un patch de sécurité met un point final à la période « zero day » de l'attaque, il ne stoppe pas les risques de cyberattaque, loin de là. « La minute où le patch est publié ne correspond pas au moment où la vulnérabilité disparaît d'Internet », rappelle Frank Breedijk.

Et pour cause : le correctif pointera plus précisément où se trouve la faille, et les cybercriminels s'en serviront pour reproduire l'attaque. Ils démarrent ainsi une course avec les équipes de sécurité, pour exploiter le problème avant que le correctif ne soit déployé. Jusqu'à la prochaine « zero day. »

François Manens

6 mn

Sujets les + lus

|

Sujets les + commentés

Commentaires 3
à écrit le 27/09/2021 à 16:04
Signaler
"qui a permis aux hackers de dérober les tests Covid de 1,4 million de Franciliens" Je croyais que tout était sécurisé ,ah,ah

à écrit le 27/09/2021 à 10:13
Signaler
Il n'existe pas une faille zero day ! Ca veux dire exploiter au plus tot avant quelle ne soit "patchée" une faille quelconque... les frogs et l'anglais... Vous dite zero day, cette faille imparable !

à écrit le 27/09/2021 à 8:59
Signaler
La "strat up nation" qu'on vous dit ! Au moins Sarkozy faisait pas semblant de s'y connaître il n'y connaissait strictement rien lui non plus mais ne s'exposait pas en expert.

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.