Spécial Sécurité : le dossier patient pas rentable et "password", le préféré des hackers
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s'intéressent aux résultats d'une étude publiée dans l'American Journal of Medicine sur l'absence d'intérêt financier du dossier patient. Ils reviennent aussi sur une étude de Microsoft faisant le point sur les identifiants et les mots de passes les plus souvent testés par les hackers. Des identifiants qu'il vaut mieux éviter donc.
1) Santé et informatique aux USA : rentabilité pas prouvée Le dossier médical informatisé, aux Etats-Unis, particulièrement en milieu hospitalier « apporte peut-être une modeste amélioration de la qualité des processus, mais n’offre aucun intérêt sur le plan de l’efficacité administrative ou sur les coûts en général ». Les prévisions d’économie et d’efficacité seraient « prématurées dans le meilleur des cas ». Telles sont les conclusions d’un rapport chiffré de 7 pages publié dans l’American Journal of Medecine, et portant sur une analyse de l’utilisation de l’informatique dans plus de 4000 établissements situés sur le territoire américain. Une analyse pessimiste qui combat pas mal d’idées reçues, et notamment les promesses du fameux DMP français, le Dossier Médical Personnel. Les ordinateurs n’ont pas, explique le rapport, été étudiés pour faciliter le travail des docteurs et des infirmières. Du personnel administratif, peut-être, mais pas des « soignants ». Les efforts financiers prodigués par le gouvernement ne portera ses fruits que si les médecins non seulement passe à un traitement des dossiers totalement informatisé, mais qu’en plus ils effectuent eux-mêmes l’enrichissement des bases de données recueillant les dossiers médicaux. Soit à la fois un surcoût et une perte de temps et d’efficacité qui réduit à néant tout espoir d’économie réelle expliquent Himmelstein, Wright et Woolhandler, les rédacteurs de l’article. Les quelques études annonçant d’importantes économies auraient été biaisées et utiliseraient des données chiffrées fantaisistes et invérifiables.
2) Password, indétrônable mot de passe Tout comme l’an passé, Microsoft publie une étude statistique sur la qualité des crédences utilisées de par le monde et plus particulièrement sur les séquences préférées dans les tentatives d’intrusions FTP distantes et utilisant des dictionnaires d’attaque. Sans grande surprise, les sésames les plus utilisés par les pirates sont, par ordre de fréquence, les mots « password », « 123456 », « #!comment: » et « changeme ». Etonnement, « F**kyou » arrive devant « abc123 ». Au hit parade des login les plus utilisés, on compte bien entendu « Administrator » suivi de près par « Administrateur ». Admin arrive en troisième position et tsinternetuser décroche la septième place. Les prénoms usuels anglo-saxons (andrew, dave, steve, paul, adam) sont également dans le peloton de tête. En général, les flibustiers de l’intrusion expédient des identifiants de 6 caractères et des mots de passe de 8. Le login le plus long comptait 15 caractères, le mot de passe le plus complexe 29. Le plus persévérant des attaquants a effectué 400 000 tentatives différentes.
L’on doit se rappeler que les login Administrateur et Administrator (ainsi que, durant une période plus courte, un certain Monsieur Guest et son proche cousin Invité) ont fait partie des comptes impossibles à renommer dans les architectures Microsoft. Or, la connaissance d’un identifiant, c’est l’effondrement de la moitié des mesures de protection d’un accès informatique.