Alerte sécurité du SIS : Nombreux piratages de sites internet dans le domaine de la santé et un risque pour le 15 janvier 2015

1)    L’alerte

Le GCS Télésanté Centre qui suit activement l’activité nationale en matière de sécurité nous signale que plusieurs milliers de sites français ont été piratés en moins de 10 heures, sans doute suite à l’attaque du journal Charlie Hebdo. 

Un pirate a annoncé dimanche soir plus de 1.000 sites français piratés à son actif. Concernant le périmètre des Ministères chargés des Affaires Sociales, différents sites ont fait l'objet d'un défacement ces derniers jours :

  • 1 GCS e-santé,
  • 3 hôpitaux,
  • 3 cliniques,
  • 1 organisme de formation de santé,
  • 1 société paramédicale,
  • 1 centre régional d'éducation physique et sportive,
  • CAF,
  • ...

 

Il est demandé de porter une attention toute particulière à une annonce sur une importante action de piratage le 15 janvier. Plusieurs collectifs de pirates informatiques parlent d’une attaque massive à cette date.

 

2)    Les vulnérabilités exploitées :

La défiguration d’un site Web est rendue possible par :

  • défaut de sécurisation d’accès à une interface de gestion du site, ou BackOffice ;
  • défaut de suivi de la procédure d’installation d’un site ;
  • vulnérabilités de type « injection SQL » qui permettent à un attaquant de modifier les informations stockées en base de données ;
  • vulnérabilités connues et non corrigées dans les différentes briques utilisées pour la construction du site (Framework, serveur Web, système d’exploitation, etc...) ;
  • vulnérabilités non connues dans ces différentes briques ( zero-day) ;
  • compromission d’un site tiers hébergé sur la même plateforme ;
  • politiques de gestion de mots de passe et de droits d’accès laxistes ;
  • etc…

 

3)    La recommandation dans cette situation

Il convient donc de surveiller vos sites Internet. En effet, ces attaques sont souvent rendues possibles par un défaut de sécurité. Plusieurs vecteurs sont exploités par des attaquants pour modifier de manière illégitime le contenu d’un site Web. La trop grande vulnérabilité des outils de « CMS » (Content Management System, en français Gestion de contenu), site web disposant de fonctionnalités de publication et offrant en particulier une interface d'administration (back-office) permettant à un administrateur de site de créer ou organiser les différentes rubriques. Les versions des outils utilisés sont souvent obsolètes, non mise à jour des correctifs de sécurité et ou les accès d'administrateur sont mal protégés.

 

4)    Mesures préventives : comment se prémunir ?

Il convient, comme rappelé régulièrement, de maintenir à jour et de corriger les vulnérabilités de l’ensemble des éléments entrant en jeu dans la mise en ligne d’un site Web :

  • gestionnaire de contenu (CMS) comme Joomla!, SPIP, Drupal, etc. ;
  • extensions et modules de tierce partie éventuellement ajoutés à ces CMS ;
  • angages utilisés et bibliothèques associées, comme PHP ;
  • logiciels fournissant le service Web comme Apache ou IIS ;
  • logiciels fournissant d’autres services nécessaires au fonctionnement du site, comme des serveurs SQL ;
  • logiciels d’administration du site et de son environnement (AWStats, phpMyVisites, etc.) ;
  • système d’exploitation sur lequel est installé un ou plusieurs de ces services.

 

Bien qu’il soit tentant d’installer des modules supplémentaires ajoutant des fonctionnalités à un site Web, il est plus raisonnable de ne conserver que les éléments vitaux au fonctionnement du site. Une grande méfiance envers les modules de tierce partie, dont les développeurs négligent parfois la sécurité, est également de mise. Tout module supplémentaire augmente la surface d’attaque, et les vulnérabilités potentielles exploitables par un attaquant.
Pour une petite structure, il est souvent plus simple de faire héberger son site chez un prestataire. La mise a jour des éléments listés ci-dessus devient contraignante (donc nécessite des procédures bien détaillées) et parfois impossible. Dans ce cas, il est recommandé d’interroger le prestataire sur sa politique de sécurité.

De plus, dans le cadre d’un hébergement de type mutualisé, la compromission d’un site hébergé sur une plateforme par un attaquant signifie souvent que celui-ci peut modifier d’autres sites hébergés sur cette même plateforme. Les bonnes pratiques concernant l’hébergement mutualisé sont rappelées dans la note d’information du CERTA http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-005/

Quand le site Web est développé par un prestataire, il convient de vérifier son engagement sur le suivi de son produit. Appliquera-t-il les corrections de vulnérabilités découvertes dans les briques logicielles utilisées ? Pourra-t-il apporter un soutien pour rechercher et corriger la vulnérabilité utilisée en cas de compromission ?

 

5)    Mesures curatives : conduite à tenir en cas de défacement ou de piratage de votre système d'information

Dès lors que la défiguration d’un site Web est découverte en interne ou signalée par une entité extérieure, plusieurs actions sont à entreprendre :

 

1. Conservation des traces

Une copie de l’état compromis du site Web (ou du serveur, si l’environnement n’est pas mutualisé) doit être réalisée. Cette copie sera utile pour l’analyse technique de la compromission, ou pour alimenter un dossier de dépôt de plainte. Il convient également de sauvegarder les journaux d’accès au site Web, et ceux de tous les services permettant de modifier le site à distance (FTP, SSH, etc.). Ces éléments doivent parfois être demandés à l’hébergeur du site Web. Lorsqu’ils existent, les traces des équipements environnants (pare-feux, serveurs mandataires, etc.) doivent également être consignés.

L’analyse de la compromission est nécessaire pour trouver quelle vulnérabilité a été utilisée par l’attaquant pour compromettre le site. Il sera alors possible de combler cette vulnérabilité. La simple restauration du site dans un état « sain » ne bloquera pas la faille utilisée par l’attaquant, qui pourra rapidement compromettre le site à nouveau. Il faut également garder à l’esprit qu’une vulnérabilité trouvée par une personne dont le but est de défigurer un site, a déjà pu être découverte et exploitée par un attaquant souhaitant réaliser d’autres opérations illégitimes de manière plus discrète.

2. Recherche d’autres intrusions

Comme rappelé ci-dessus, un site défiguré est un site vulnérable. Il faut donc rechercher d’autres traces de compromission et modifications du site. Il se peut que du contenu malveillant ait été déposé comme par exemple pages d’hameçonnage (phishing) ;

  • insertion de malware ;
  • insertion de publicités non légitimes ;
  • modification de la configuration du site, ou des fichiers .htaccess ;
  • installation d’un porte dérobée (PHP shell, etc.) permettant d’utiliser le site pour effectuer d’autres actions malveillantes (nouvelles compromissions, déni de service, etc...) ;
  • stockage de fichiers soumis au droit d’auteur ;
  • etc.

Il ne suffit pas de vérifier la présence de nouveaux fichiers dans l’arborescence du site. Si le site s’appuie sur une base de données, celle-ci a également pu être modifiée, et devra être restaurée à partir d’une sauvegarde dont le contenu aura été vérifié.

3. Reconstruction du site

Il est possible, une fois la copie du site compromis (ou de l’intégralité du serveur, si possible) réalisée et sauvegardée, de restaurer le site dans son état normal. Toutefois, avant de le remettre en ligne, il est nécessaire de corriger d’abord les vulnérabilités précédemment identifiées. Si une sauvegarde est utilisée, il est impératif de s’assurer que celle-ci est bien saine et ne date pas d’un moment ultérieur à la défiguration. Si aucune sauvegarde n’est disponible, seuls les éléments de la défiguration pourront être modifiés ou supprimés. La vulnérabilité utilisée doit toujours être corrigée.

4. Alerter la chaîne de cybersécurité

Pour les établissements publics, il est obligatoire de déclarer les incidents de sécurité sur les systèmes d'information (Politique de sécurité des systèmes d'information de l'Etat). Pour les établissements privés, ils sont cordialement invités à le faire.

Cette déclaration peut être réalisée sur l'adresse ssi@sg.social.gouv.fr

Merci de mettre également en copie votre conseiller systèmes d’information de santé à la FEHAP : jeanfrancois.goglin@fehap.fr

La plainte déposée a pour but de décrire l'attaque, sa réussite ou son échec, les éventuels dommages qui peuvent en résulter ainsi que toutes les autres conséquences (perte de temps pour vérification de l'intégrité du site ou des données, pertes d'argent, perte de crédibilité auprès des internautes etc...). La police envoie ensuite au parquet votre dossier qui décidera ou non d'instruire le dossier.


5. Dépôt de plainte

Vous pouvez déposer une plainte pour atteinte à un traitement automatisé de données (appellation juridique du piratage) prévu et puni par les articles 323-1 et suivants du code pénal.

Cette plainte peut-être recueillie par :

  • votre Service Régional de Police Judiciaire. Votre commissariat de police ou votre gendarmerie devraient vous donner sans difficulté leurs coordonnées. . . Une fois en contact avec votre S.R.P.J. il faut demander à parler à un « Investigateur en cybercriminalité » autrement dit un I.C.C qui pourra enregistrer votre plainte.
  • ou adresser directement un courrier au Procureur de la République du Tribunal de Grande Instance dont relève votre établissement

 

Pour toute question, contactez votre conseiller SIS :

Jean-François GOGLIN

Jeanfrancois.goglin@fehap.fr

Tel : 06 62 79 27 81