Importante faille de sécurité dans plusieurs dizaines d’hôpitaux

Les identifiants permettant l’accès à distance aux systèmes d’information ont été un temps accessibles en clair sur Internet.

L’affaire est toute récente. Il y a quelques semaines, un lecteur de zataz.com a découvert un fichier dans le cache de Google. Et pas n’importe lequel. Baptisé InfosEtContacts.xls, il contenait les identifiants, en clair, permettant d’accéder à distance au système de gestion des urgences de plusieurs dizaines de centres hospitaliers de France - adresse IP, serveur VNC, ouverture de sessions, accès aux bases de données, etc. Zataz a informé le CERT A, l’Anssi et la Cnil avant de communiquer sur l’incident, une fois qu’il a été réglé.

En cause, le site Web du logiciel ResUrgence développé par le groupe Berger-Levrault : l’un de ses dossiers, contenant le dit fichier, était accessible à tout Internet, y compris donc aux moteurs de recherche qui ne se sont pas privés de l’indexer. La direction générale de l’offre de santé, interrogée par nos confrères de TICsanté, met directement en cause le groupe Berger-Levrault. Pour elle, l’incident « traduit une défaillance exceptionnelle et imputable uniquement à ce fournisseur dans le cadre de la maintenance d’un logiciel au sein de ses établissements de santé clients ».

Dans une déclaration adressée à nos confrères, le groupe mis en cause relativise, évoquant « une erreur humaine » impliquant « un dossier inutilisé depuis quatre ans contenant exclusivement des données techniques de configuration » qui a malheureusement été « copié sur un répertoire public », à la suite d’une migration de serveurs. Mais pour lui, « pas de faille de sécurité », son outil « s’appuyant sur un serveur documentaire sécurisé  ». Reste que certains établissements utilisaient manifestement encore certains dossiers du répertoire concerné jusqu’en octobre.

Selon le groupe Berger-Levrault, « une dizaine » de sites auraient pu être compromis et ont été avertis. Le groupe a absorbé Intuitive, éditeur de ResUrgence, mi-octobre. Cet outil est déployé dans un total de 80 établissements de santé. Berger-Levrault fournit notamment les solutions de gestion des dossiers de soins et de dossiers patients de 200 centres hospitaliers.

Pour approfondir sur Backup