Le site has-sante.fr a été piraté afin d’être utilisé dans une attaque sophistiquée de « phishing ».
Les données de santé sont une cible de plus en plus privilégiée par les hackers de tout pays. En Janvier 2015, un des plus importants assureurs américains était victime d’une attaque informatique ayant pour objectif de voler toutes les données personnelles de santé de ses clients.
Dans certains cas, des demandes de rançons sont effectuées auprès des organismes qui n’ont pas su sécuriser suffisamment les données de santé de leurs patients.
L’année 2015 est même qualifiée de «l’année du piratage des données de santé». selon le figaro.fr.
Nous mettons en œuvre tous les moyens techniques, humains et organisationnels afin de sécuriser les données des établissements pour lesquelles nous intervenons.
La sécurité est la clé de voûte des Systèmes d’Informations Hospitalier dont nous avons la responsabilité.
Afin de maintenir un niveau de sécurité optimal, nous effectuons toutes les démarches nous permettant d’assurer le meilleur service (GPLExpert rejoint l’APSISS)
L’attaque visant le site has-sante.fr s’est déroulé en 3 étapes :
- Attaque du site de la HAS
- Création de pages frauduleuses enregistrant les identifiants des utilisateurs
- Emailing contenant un lien vers les pages frauduleuses
Une fois immiscé au cœur du site de la Haute autorité de la Santé, le pirate a créé de nombreuses pages d’hameçonnages (phishing) imitant la LCL, la Caisse d’épargne, Free, la banque Postale. L’espace d’authentification de Saisie des Déclarations d’interets de la Haute Autorité a également été ciblée.
S’en est suivi une campagne de mail en très grand nombre, incitant les utilisateurs à s’authentifier sur ses pages préalablement créées, par le biais d’un lien dans l’objectif final de récupérer les identifiants des utilisateurs.
Ce type d’attaque est suffisamment élaborée pour faire plusieurs centaines de victimes en très peu de temps.
L’Agence Nationale de la Sécurité des Systèmes d’Information a été saisi du dossier afin d’identifier le périmètre exact de l’attaque.