"Zero day", cette faille imparable à l'origine de la cyberattaque des hôpitaux de Paris
Ce contenu est réservé aux abonnés La Tribune

Photo d'illustration
© Philippe Wojazer / Reuters
Ce contenu est réservé aux abonnés La Tribune

Photo d'illustration
© Philippe Wojazer / Reuters
Le 15 septembre, l'assistance publique hôpitaux de Paris (AP-HP), le CHU d'Île-de France, faisait état d'un important incident de sécurité informatique. Des pirates ont réussi à se procurer les données issues des tests Covid d'1,4 million de Franciliens, effectués au cours de l'été 2020. Avec, pour chaque victime, une liste longue comme le bras de données compromettantes : numéro de sécurité sociale, nom, prénom, date de naissance, sexe, numéro de téléphone, adresse email, adresse postale ou encore le type de test effectué et son résultat.
Le groupe hospitalier s'est montré avare en détails sur l'incident et s'est restreint au strict minimum légal : avertir les personnes concernées et prévenir les autorités compétentes comme le gendarme de la vie privée, la Cnil, et celui des attaques informatiques, l'Anssi. Ce n'est que six jours plus tard, le 21 septembre que Le Monde démêlait les détails techniques de l'affaire.
Au centre de l'incident se trouvait une faille du logiciel « Dispose », utilisé par les employés du groupement hospitalier pour partager des fichiers entre eux. Créé et hébergé par l'AP-HP, « Dispose » est en réalité une version personnalisée d'un autre logiciel, « HCP Anywhere », édité par l'entreprise japonaise Hitachi. Bien que les caractéristiques précises de la vulnérabilité restent à ce jour inconnues, elle aurait permis d'accéder à la page de téléchargement des données échangées, où se seraient servis les pirates.
À lire également
D'après Le Monde, le vol s'appuierait sur une faille de type « zero day ». Dans le jargon, on qualifie de « zero day » une vulnérabilité logicielle inconnue de son éditeur. Ce terme a de quoi faire frissonner les équipes de sécurité. La raison ? Le plus souvent, ces failles sont présentes et donc exploitables dans toutes les versions du logiciel. Autrement dit, pour les hackers qui trouvent une façon d'en abuser, le « zero day » transforme le logiciel en vecteur d'attaque potentiel sur des milliers de machines. Pis, c'est une méthode d'attaque inconnue des défenseurs, et donc pratiquement imparable.