La sécurité informatique mise à mal dans la santé Décryptualité du 1er mars 2021

Luc : Décryptualité. Semaine 8. Salut Manu.

Manu : Salut Luc.

Luc : Aujourd’hui je suis de mauvaise humeur !

Manu : Oui ! Ça ne va pas du tout, c’est de ma faute, c’est une erreur, je suis dépité, je n’en peux plus !

Luc : Tu seras fouetté. On ne dira pas ce dont il s’agit.
Revue de presse. Le Point, « Merci « Perseverance » ! Le logiciel libre arrive sur Mars », un article d’Aurélie Jean.

Manu : Oui. Avec les sondes qui sont envoyées, il y a du matériel, bien sûr, mais du logiciel aussi et, dans ces logiciels, il y a beaucoup de logiciels libres, il y a du Linux, donc on est plutôt fiers et contents de voir que dans l’espace on utilise du logiciel libre. C’est plutôt sympa.

Luc : Le Monde Informatique, « La véritable valeur de l’open source dans le cloud », un article de Matt Asay.

Manu : Le cloud c’est un sujet bien compliqué et bien général, mais effectivement il y a pas mal de choses que l’open source, c’est comme ça dans l’article, apporte, donc c’est plutôt utile et pratique. Il faut quand même faire attention, on peut toujours se faire choper par des fournisseurs qui vont nous bloquer chez eux, des cages dorées. On a des facilités, mais il faut faire attention à ne pas être enfermé, malheureusement, même avec du logiciel libre on peut être enfermé.

Luc : Oui. Si c‘est un service hébergé, le fait que le logiciel soit libre ne change pas grand-chose pour nous dès lors qu’on dépend du service.
ITforBusiness, « L’open source s’invite dans le monde des processeurs », un article de David Feugey.

Manu : Ce n’est pas nouveau, mais, effectivement, on parle souvent du logiciel libre, donc logiciel, mais la notion de Libre qu’il y a derrière ne s’applique pas qu’au cas du logiciel, elle s’applique à beaucoup d’autres domaines, notamment le matériel et les microprocesseurs. L’article parle de ça.

Luc : Si on veut de l’informatique vraiment libre, le matériel devrait être libre également parce qu’il y a moyen de contourner toutes les libertés que le logiciel offre si le matériel est corrompu.

Manu : C’est plus compliqué parce qu’on n’a pas tous une usine qui fabrique des puces dans notre arrière-cour ; c’est très complexe, ça demande des investissements de folie. Effectivement, les plans des microprocesseurs peuvent être partagés, travaillés en commun. C’est un bien commun très compliqué à mettre en œuvre donc, justement, le partager et y travailler à plusieurs c’est plutôt de la valeur ajoutée, c’est plutôt sympathique.

Luc : Numerama, « L’Assurance Maladie critique le rôle de Microsoft dans l’hébergement des données de santé », un article de Julien Lausson.

Manu : Microsoft et les données de santé, c’est la problématique du Health Data Hub.

Luc : On en parle depuis des semaines, quasi toutes les semaines depuis la reprise de la revue de presse.

Manu : On continuera d’en parler mais aller, redis-moi, c’est quoi ?

Luc : Il s’agit d’héberger les données de santé des Français, pour les centraliser, mais dans une démarche de pragmatisme qui est la bonne porte d’entrée pour aller se livrer pieds et poings liés à des GAFAM, l’État français a choisi Microsoft.

Manu : Le cloud de Microsoft, donc l’informatique en nuage, les serveurs, les datatacenters de Microsoft.

Luc : Il y a pas mal de gens qui ont râlé là-dessus, on l’avait évoqué rapidement la semaine dernière, mais là c’est nouveau, l’Assurance maladie elle-même a dit on « n’aime pas trop ça ! »

Manu : Donc pas contents. Effectivement il y a pas mal de problématiques, des problématiques de souveraineté, parce que ces données-là sortent de France, donc la loi qui s’y applique n’est plus tout à fait la même. N’oublions pas que c’est une entreprise américaine, qui obéit à des lois américaines et, dans les lois américaines, il y a des clauses qui permettent aux agences de renseignement américaines de faire un peu ce qu’elles veulent, sans le dire. Ce sont des gag orders, comment on pourrait dire ça, des ordres de silence, c’est-à-dire que si jamais vous aidez la NSA, la CIA ou un autre organisme américain, il peut vous dire de ne pas en parler à vos clients. L’État français s’en est un petit peu inquiété, mais ça n’a rien donné parce qu’on a dit : « Ne vous inquiétez pas, Microsoft n’a aucun intérêt à le faire ! ». Certes, mais il est obligé !

Luc : Il a l’obligation de le faire.

Manu : C’est un sujet qui est vraiment très complexe parce que là ça y est, normalement les données des Français sont en train d’aller sur ces datacenters de Microsoft, ça a déjà été acté.

Luc : Du coup, on va parler santé un peu plus en détail en sujet principal, puisqu’il y a une autre affaire qui a fait grand bruit, qui était déjà là la semaine dernière, qui touche également le domaine de la santé. Il y a un éditeur de logiciels français, qui équipe notamment un grand nombre d’établissements de santé, des hôpitaux, des cliniques, etc.

Manu : Des laboratoires.

Luc : Des laboratoires, qui s’appelle Dedalus, et qui a eu une grosse fuite. Les données de santé de 500 000 personnes sont parties dans la nature et ont pu être récupérées.

Manu : Ce n’est pas une fuite d’eau !

Luc : Non, c’est une fuite de données.

Manu : C’est quoi comme genre de données ? On a des descriptions rapides.

Luc : Effectivement Next INpact a regardé ce qu’il y avait dedans. Déjà, on peut se dire que 500 000 personnes finalement ce n’est pas tant que ça.

Manu : Sur 60 millions.

Luc : Facebook a donné à n’importe qui les données de dizaines de millions de personnes. On retrouve quand même un certain nombre d’éléments.

Manu : D’éléments identifiants.

Luc : D’éléments identifiants, notamment les fameux mots de passe des e-mails des gens. Jean-Marc Manach, qui a écrit l’article, rigole en montrant les mots de passe, le fait que les gens utilisent le même mot de passe pour leur mail que celui qu’ils utilisent pour le site, en tout cas pour ces éléments-là.

Manu : Ils ont des mots de passe compliqués, avec des lettres, des chiffres, des caractères.

Luc : Oui. Il y a des trucs avec des mots qui n’existent pas dans le dictionnaire comme « azertyiop ».

Manu : Oui, d’accord.

Luc : Si votre mot de passe c’est ça, changez-le. Parce qu’il y en a plein de gens qui l’utilisent.

Manu : Changez-le. C’est d’ailleurs intéressant parce que ça permet de faire des statistiques sur l’usage des mots de passe. C’est intéressant, mais c’est gênant parce que, à chaque fois, on se rend compte qu’il y a plein de mots de passe qui sont idiots.

Luc : Le truc de base c’est de ne pas utiliser le même mot de passe sur les sites commerciaux ou sur n’importe quel site où on va que celui qu’on utilise pour son mail. Le mail est ce qui va servir à chaque fois qu’on fait une remise à zéro, qu’on a perdu son mot de passe. C’est là que tout va. Si quelqu’un prend le contrôle du mail, il a accès à tout. Le mot de passe du mail devrait être unique et utilisé nulle part ailleurs.

Manu : Oui, mais c’est quasiment impossible à faire. On n’a pas des têtes à stocker dedans des dizaines et des dizaines de mots de passe hyper-compliqués, différents, variés à chaque fois. On ne peut pas s’en rappeler !

Luc : Il y a des logiciels de gestion de mots de passe. Il y a, par exemple, un truc qui s’appelle KeePass [1], il y en a plein d’autres. C’est déjà une solution. Mais même si on utilise le même mot de passe sur des sites à la con, au moins pour son mail on n’en utilise qu’un seul. Donc, retenir ne serait-ce que deux mots de passe, c’est le minimum du minimum parce que, vraiment, il suffit de commander sur Internet, on met son mail et un mot de passe pour s’identifier sur le site, sur des tétrachiées de sites qui sont extrêmement peu fiables et qui se font percer tout le temps, donc si on a le même mot de passe, mécaniquement c’est inratable.

Manu : Se rassurer sur un point, c’est que généralement les banques vous forcent, et c’est finalement bien, à avoir un mot de passe dédié à la banque, des choses à base de numéros ou d’images qu’il faut cliquer, donc ça permet d’éviter la réutilisation.
Il n’y a pas que ces données-là qui ont fuité, il y a d’autres données identifiantes.

Luc : Il y a tous les identifiants, nom, prénom, etc., le numéro de Sécu et des éléments sur la santé des gens, forcément.

Manu : Donc on peut être au courant de femmes qui seraient enceintes par exemple, de gens qui ont des maladies graves et tout ça est rattaché à votre numéro de sécurité sociale, c’est quelque chose de très fort qui peut-être utilisé et abusé. On peut utiliser ce genre de données pour s’inscrire à votre place et faire des emprunts par exemple, des emprunts de consommation, je n’ai pas exactement la liste des documents dont a besoin, mais il me semble que ce genre de chose en fait partie.

Luc : C’est ce genre d’info qui est intéressant pour faire du hacking social, comme on l’appelle. En gros, quand on arrive à récolter des informations personnelles sur les gens, très précises, l’escroc peut appeler quelqu’un en disant « bonjour, je suis votre banquier » et poser des questions personnelles ou se faire passer pour quelqu’un qui vous connaît et qui sait que vous êtes parti en vacances, quel est le nom de votre fille, etc., du coup ça met en confiance. C’est ce genre d’arnaque qui est possible.

Manu : Là c’est une fuite qui est apparue parce que des hackers ont essayé de faire chanter l’entreprise. En ce moment on est dans un cycle, il y a pas mal de hacking qui est en train de se passer. J’ai cru comprendre qu’il y avait eu des problématiques ces derniers temps.

Luc : Effectivement, deux hôpitaux récemment – c’est déjà arrivé avant, mais c’est de nouveau arrivé très récemment à Dax et à Villefranche, je pense qu’il doit y avoir 40 000 Villefranche en France – ont été victimes de rançongiciels. Ce sont des sortes de virus informatiques, en quelque sorte, qui vont chiffrer les disques, donc bloquer toute l’informatique et envoyer un petit message en disant « envoyez-nous des bitcoins sinon vous ne récupérez pas le système d’information de votre hôpital. »

Manu : Il faut faire gaffe, parce que le bitcoin, en ce moment, c’est dans les 50 000 dollars, ça va monter à une vitesse !

Luc : En tout cas des fractions de bitcoin.
Pourquoi ils s’attaquent aux hôpitaux ? C’est qu’ils se disent que l’hôpital a besoin de sauver des gens, il a des malades, donc il ne peut pas prendre le temps. Ils disent que c’est une bonne cible, même s’ils ne sont pas très riches, parce que pour eux c’est une question de vie ou de mort, donc ils vont payer.

Manu : Il semblerait aussi que ce soit des prises faciles. Les hôpitaux ne se sont pas spécialisés dans la sécurité informatique, ça se saurait, ce n’est pas leur domaine.

Luc : Ils ont déjà du mal à faire fonctionner leurs services de médecine, donc, effectivement, on peut imaginer que l’informatique ce n’est pas leur priorité.

Manu : Résultat, effectivement leurs machines se trouvent occupées, utilisées par d’autres personnes que celles auxquelles elles sont destinées, c’est embêtant. Non seulement on peut bloquer un service d’hôpital, mais on peut aussi voler les données des personnes qui sont dedans. On le constate : 500 000 personnes sont touchées. C’est un problème qui est global, il n’y a pas qu’en France que ça arrive. Ça arrive un peu partout. Il y a eu le cas de SolarWinds [2] aux États-Unis. Il y a eu des cas en Inde où ils ont volé des quantités phénoménales de données des citoyens. C’est un peu embêtant et un peu inquiétant.

Luc : Oui. Et dans le cas de l’hôpital, même si les gens sont professionnels et ont des procédures pour s’adapter dans ce genre de situation, on se doute que ne pas avoir ses outils dans un milieu qui est déjà tendu ça rend le travail plus difficile, donc forcément il va y avoir des conséquences sur la santé des gens. Il y a quelques semaines, deux/trois mois peut-être, on avait fait un podcast [3] sur les cas où l’informatique essaye de nous tuer pour de vrai, là c’est un cas concret.

Manu : Quand on pense, en plus, qu’on est en période Covid, les hôpitaux sont déjà un peu tendus. Là, ça ne va pas aider. À ton avis, les laboratoires concernés et l’éditeur de logiciel, ils prennent des risques avec tout ça ?

Luc : Avec quoi ?

Manu : Avec le fait d’avoir laissé fuiter des données en aussi grand nombre.

Luc : Il faut bien dire que la fuite de données et le rançongiciel ne sont pas liés, ce sont deux affaires, mais ça montre que dans la santé la question de la sécurité informatique est essentielle. Ce qui est intéressant dans l’affaire Dedalus et la fuite de ces données-là, c’est qu’un type qui travaillait pour l’éditeur a détecté qu’il y avait des failles et qu’on pouvait très facilement accéder aux infos des gens sur Internet.

Manu : Il a détecté ça, il y a quoi ? Il y a deux-trois jours ?

Luc : Non, non ! Il y a plusieurs années !

Manu : Quoi ! Plusieurs années.

Luc : Il a donc signalé plusieurs fois le truc en interne en disant « attention », il a fait des patchs pour corriger. On lui a toujours dit « fais ce qu’on te demande, développe, ce n’est pas un problème, on s’en fout ! ». Il est passé en mode lanceur d’alerte puisqu’il a finalement prévenu des autorités administratives dans le domaine de la santé pour dire « attention, le logiciel de l’éditeur qui m’emploie n’est pas sûr, c’est une passoire ». Du coup, il s’est fait virer l’année dernière, pour faute, par l’éditeur.

Manu : Ah ! C’est un peu rageant ! Ceci dit, là, ce qu’il avait fait, il avait raison de le faire. On le voit bien. Est-ce que lui peut se permettre de faire quelque chose que parfois tu aimes ?

Luc : Il peut dire « je vous l’avais bien dit », c’est mon plaisir ultime dans la vie.

Manu : Là, le lanceur d’alerte qui s’est fait virer, qui n’a pas été protégé par l’État ou les administrations, qu’on n’a pas été écouté, qui n’a pas eu de conséquences, si ce n’est qu’il s’est fait virer ce qui est moche pour lui, effectivement.

Luc : Contrairement à d’autres lanceurs d’alerte il ne s’en sort pas trop mal. Il a retrouvé un boulot dans la foulée. Il y a des lanceurs qui s’en prennent plein la gueule parce qu’ils sont très durs pour eux.

Manu : Leur vie est détruite.

Luc : Heureusement pour lui, à priori ça va plutôt bien.
Moi je vois une réaction. Si j’étais Microsoft, hum !, j’aurais une réaction immédiate, je dirais « vous voyez, vous donnez à des petits éditeurs de chez vous, pas sérieux, qui sont des passoires ! Au moins chez Microsoft, avec des vrais professionnels, vos données sont en sécurité ».

Manu : Tu parles, les vrais professionnels se font avoir. Les dirigeants de SolarWinds, fournisseur des administrations américaines dans la sécurité, accusent un stagiaire d’être responsable des fuites et du hacking dont ils ont été victimes et ils disent que c’est de la faute du stagiaire si le mot de passe, un peu standard en interne, a fuité. Tu sais ce que c’était ce mot de passe ?

Luc : « toto55 » ?

Manu : Non. Ce n’était pas vraiment mieux, c’était « solarwinds123 ». Donc c’est la faute du stagiaire. Ça a quelque chose de phénoménal, gigantesque !

Luc : C’est doublement fou ! Des mots de passe à la con du genre admin-admin il y en a partout. Si tu fais ça sur un serveur de test, pour tester la dernière version, ce n’est peut-être très grave, tu n’as peut-être pas envie que quelqu’un vienne mettre le nez dans ce que tu fais, ce n’est peut-être pas nécessairement la meilleure solution, mais ce n’est pas important. Quand tu es en production, là où il y a les vraies infos, tu n’es pas censé à avoir un mot de passe comme ça. Et, en plus, tu n’es pas censé donner le mot de passe de production du truc super important à un simple stagiaire.

Manu : Sauf si c’est le même mot de passe que celui qu’ils ont les serveurs de test où le stagiaire travaille d’habitude. Le stagiaire ne savait peut-être même pas qu’il y avait ce genre de clefs à un porte d’entrée de la production. L’accuser c’est vraiment de la mauvaise foi, c’est nul !

Luc : Mais c’est de sa faute !

Manu : C’est atroce ! Ce qui m’inquiète c’est que j’ai l’impression qu’on rassemble ce genre de données à plein d’endroits. Le Health Data Hub c’est un endroit où il y en a plein qui sont rassemblées, mais il y en a d’autres. Les cartes d’identité françaises ont été rassemblées avec les passeports et d’autres données administratives et on sait qu’en Inde ils se sont fait choper sur ce genre de base de données. Il y a des centaines de millions d’informations individuelles qui ont fuité. Les mettre à un endroit, même si ce sont des spécialistes qui sont derrière, on ne peut pas garantir à 100 % qu’il n’y aura jamais de fuite.

Luc : Il y a toujours un risque. Effectivement, quand on concentre tout, le jour où ça pète ! Pour moi c’est un peu comme les centrales nucléaires. Il n’y a pas souvent d’accidents dans une centrale nucléaire, mais quand il y en a un ça devient tout de suite très grave parce qu’on a concentré beaucoup de trucs très néfastes au même endroit. En même temps, c’est vrai que c’est quand même utile de pouvoir concentrer des données.

Manu : On en a clairement l’utilité.

Luc : Statistiquement on peut étudier des tonnes de choses, on peut apprendre énormément, on a parlé du big data et de toutes ces choses-là, il y a un côté buzzword à la con, mais ça permet de faire des choses, ce qui serait plus difficile autrement.
En tout cas ça démontre qu’il faut avoir un œil sur la façon dont les choses fonctionnent pour de vrai. Dire que c’est le problème de l’éditeur, que c’est à lui de bien faire, ce n’est pas suffisant. J’ai une idée depuis longtemps qui est que les administrateurs système devraient avoir une sorte de protection et des obligations comme certaines professions.

Manu : Comme les architectes ?

Luc : Les architectes, les experts-comptables, les journalistes, qui ont des obligations au-delà de simplement l’exécution de leur contrat parce qu’on estime qu’ils ont une responsabilité sociale. Les admins sys ont tellement de pouvoir parce qu’ils ont accès à énormément de choses, ils ont aussi des devoirs parce qu’une boîte peut faire n’importe et n’en avoir rien à foutre, pour moi ils devraient avoir un statut un peu spécifique avec des droits et des devoirs et des protections spécifiques.

Manu : Tu veux une charte de déontologie ?

Luc : Oui. Je pense qu’ils ont un rôle très important et que ce serait tout à fait adapté.

Manu : Ça va être compliqué à mettre en place mais, effectivement, ce serait peut-être intéressant.
Sur ce, je te dis à la semaine prochaine.

Luc : Oui. À la semaine prochaine. Salut.

Manu : On espère que ça ira mieux.

Luc : Oui.