Piratage de l’AP-HP : une faille zero day exploitée par les attaquants

Piratage de l’AP-HP : une faille zero day exploitée par les attaquants

Victime d’une fuite de données, l’Assistance Publique – Hôpitaux de Paris (AP-HP) a vu les données de tests COVID réalisés sur 1,4 million de français dérobées selon un communiqué diffusé mercredi dernier. L’AP-HP avait expliqué que cette fuite de données avait été rendue possible suite à l’utilisation d’un logiciel commercial, mis en place par l’hôpital pour pallier les problèmes rencontrés par SIDEP (Systeme d’Information de DEPistage) et qui bloquaient les transferts de fichiers.

Une solution commerciale qui n’était pas nommée dans le communiqué de l’AP-HP, mais qui a été identifiée dans une enquête du Monde publiée mardi : il s’agissait de la solution Hitachi Content Platform Anywhere, utilisée pour proposer aux employés de l’AP-HP une solution de transfert de fichier sécurisée baptisée Dispose.

publicité

Un outil de secours

Hitachi Content Platform Anywhere, commercialisé par la filiale Hitachi Vantara, est un outil de transfert de fichier proche des solutions de type Dropbox, mais qui peut être déployé en propre par l’organisation qui l’utilise. Cela signifie que cette solution ne fonctionnait pas sur des serveurs tiers, mais sur des serveurs détenus par l’AP-HP.

Comme le précise l’enquête du Monde, cet outil était utilisé en septembre 2020 pour effectuer des transferts de fichier entre l’AP-HP et l’Assurance maladie, en attendant que la solution SIDEP destinée au partage de données de dépistage soit entièrement opérationnelle. Si la configuration du service prévoyait de détruire automatiquement les données hébergées au bout d’une période de temps donnée, il semblerait que ce garde fou n’ait pas fonctionné comme prévu dans le cadre des données hébergées dans le mois de septembre 2020.

Comme le rapporte le Monde, les attaquants à l’origine du vol de données ont agi dans le courant de l’été 2021 en exploitant une faille zero day au sein de Hitachi Content Platform Anywhere. Cette vulnérabilité permettait aux attaquants de contourner les protections mises en place pour accéder aux données.

Il y aura toujours des failles

Le vol de données a été signalé à l’AP-HP par les agents de l’Anssi à la fin du mois d’août, et le parquet de Paris a ouvert quelques jours plus tard une enquête, confiée aux policiers spécialisés dans la lutte contre la cybercriminalité.

Dans un post de blog publié mercredi, le directeur de la sécurité d’Hitachi Vantara confirme avoir été informé le 13 septembre « d’une potentielle vulnérabilité dans le programme HCP Anywhere. » Une potentielle vulnérabilité confirmée par les équipes de la société quelques jours plus tard, et qui a donné lieu a la publication d’un patch correctif, diffusé aux clients dimanche 19 septembre. Le directeur explique que l’exploitation de cette vulnérabilité nécessitait « un ensemble complexe de conditions distinctes (qui) devait se produire dans une séquence spécifique », ce qui lui a permis de passer entre les mailles du filet des équipes chargées de tester la sécurité du produit. « Hitachi Vantara, comme la plupart des éditeurs de logiciels, teste son logiciel de manière approfondie avant de le proposer, mais un scénario de vulnérabilité complexe comme celui-ci reste l’un des plus difficiles à détecter », poursuit le directeur.

L’utilisation d’une faille zero day, inconnue de l’éditeur dans le cadre de cette fuite de donnée montre que les auteurs du vol disposaient de moyens conséquents et sophistiqués. Si des zones d’ombre subsistent sur les raisons qui ont permis à des données hébergées sur les serveurs de la solution en septembre 2020 d’être toujours là un an plus tard, le recours à une faille de ce type n’est pas chose courante.

Leave a Reply

Your email address will not be published. Required fields are marked *