Le Massachusetts General Hospital (MGH) a annoncé cette semaine que certaines données relatives à ses patients avaient été compromises par l'un de ses tiers, Patterson Dental, une société qui fournit des logiciels permettant de gérer les informations relatives aux cabinets dentaires. Selon la version des faits du MGH :
"Le 8 février, l'hôpital a appris qu'une personne non autorisée avait accédé à des fichiers électroniques stockés sur le système (c'est-à-dire le système de Patterson Dental) et a confirmé par la suite que les fichiers contenaient des informations sur le cabinet dentaire de l'hôpital "[1].
"Individu non autorisé". Cela semble intrigant. Comment cet "individu non autorisé" a-t-il pu accéder au site ? Il doit s'agir d'un piratage brillant, d'une obscure vulnérabilité du serveur web, d'une injection SQL, d'une attaque par scripts intersites ou d'un réseau international de criminalité organisée doté d'une équipe d'esprits brillants opérant 24 heures sur 24 dans un sous-sol enfumé situé sous une devanture de magasin par ailleurs anodine.
Ou peut-être qu'un employé très occupé de Patterson Dental a accidentellement copié le mauvais fichier sur le mauvais serveur... en 2009.
Il s'avère que le "piratage" du serveur FTP a été perpétré par Justin Shafer, un technicien en informatique dentaire et chercheur en sécurité logicielle qui gère un blog sur la sécurité pendant son temps libre(http://justinshafer.blogspot.com/). Alors qu'il recherchait des vulnérabilités suspectes dans un logiciel de gestion de cabinet dentaire, Justin est tombé sur un serveur FTP anonyme exploité par Patterson Dental (la société qui fabrique le logiciel dentaire sur lequel Justin effectuait ses recherches). Les serveurs FTP anonymes sont conçus pour distribuer au public des fichiers volumineux et non sensibles (par exemple, de la documentation sur les produits), et ils sont accessibles à presque tout le monde... à dessein.
Ayant découvert et téléchargé des données sensibles de patients à partir du site FTP sans avoir été détecté, il a notifié DataBreaches.net à :
"Il a demandé de l'aide pour la notification et la divulgation responsable. DataBreaches.net et Shafer ont tous deux commencé à tenter d'informer Patterson et ses clients dont les informations non cryptées sur les patients avaient été exposées pendant une période de temps inconnue"[2].
Nous devrions tous avoir la chance d'être "piratés" par Justin Shafer.
Mass General avait donc deux options :
- La vérité - ils ont confié des données sensibles concernant des patients à un tiers qui les a (vraisemblablement) accidentellement copiées sur un serveur public, ou.. :
- Un embellissement créatif - à la limite du fantastique - l'un de leurs tiers a été "piraté" par une "personne non autorisée"
À votre avis, quel choix a été fait par les responsables des relations publiques et les juristes ?
Nous ne savons pas comment le fichier sensible s'est retrouvé sur le serveur FTP anonyme en 2009, mais il y a de fortes chances qu'un employé pressé l'ait placé là pour qu'un collègue de confiance puisse le télécharger facilement, en évitant le processus fastidieux d'utilisation d'un serveur sécurisé, d'obtention d'identifiants, etc. Un raccourci. Je suis sûr que la personne qui a copié les fichiers avait l'intention de les supprimer, mais la vie est passée par là...
Cette affaire est tout sauf un piratage, et tant lapremière quela troisième partie se cachent derrière ce terme, car, ironiquement, ce qui s'est réellement passé est plus embarrassant qu'un véritable piratage... il est plus honorable d'être blessé lors d'une agression que de s'effondrer après avoir trop bu.
L'épisode est toutefois illustratif, car il souligne le fait que même les pirates informatiques les plus brillants dépendent de l'inattention ou de la stupidité de leurs employés pour mener à bien les attaques les plus efficaces.
Heureusement pour les pirates, les deux ne manquent pas.
Post Script
Si vous avez quelques minutes, j'encourage les lecteurs à consulter l'article complet dans la deuxième note de bas de page : http://www.dailydot.com/layer8/justin-shafer-fbi-raid/
Alerte au spoiler : le FBI a perquisitionné la maison de Justin Shafer en réponse à ses actions en tant que "cybercriminel" présumé. Apparemment, aucune bonne action ne reste impunie.
[1] http://whdh.com/news/local/mass-general-hospital-announces-data-breach/
[2] http://www.dailydot.com/layer8/justin-shafer-fbi-raid/
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
