Blog du grouik

... Ils sont juste faibles.

Récemment, certains sites d'information indiquaient que les attaques "WanaCry et compagnie" ciblaient les hôpitaux.

Ayant travaillé 10 ans en hôpital (aujourd'hui détaché dans une autre administration qui n'a rien à voir), je vais vous indiquer quelques points faibles des SI des hôpitaux. Vous comprendrez qu'ils n'ont pas besoin d'être des cibles pour se coltiner régulièrement des ransomwares.

Une des activités des Agences Régionales de Santé est de construire des indicateurs. Pour ce faire, les chargés de missions des ARS envoient des documents office contenant des macros aux hôpitaux. Ces dernières (les macros) sont nécessaires pour la saisie. Je me souviens avoir tenté de lutter sur l'activation des macros sur les postes. L'ARS étant l’organisme de tutelle des hôpitaux, j'avais plié: Tous les services administratifs des hôpitaux ont le pack Microsoft Office avec les macros activées.

Maintenant regardons un peu les progiciels utilisés. Les logiciels de dossier de soins ont tendance à se renouveler en raison des certifications et autres... ^[1]. La faille se situe plutôt au niveau des progiciels de compatibilité et de ressources humaines. Ces derniers fonctionnent la plupart en client lourd. Pour certains vous trouverez même un .ini (ou un fichier access) contenant les identifiants administrateur du serveur de base de donnée en clair sur chaque poste. C'est une faille, mais elle ne sert pas aux ransomwares, je m'éloigne du sujet. C'est du client lourd mais l'éditeur a généralement prévu un système de mise à jour. Pour plusieurs logiciels rencontrés dans plusieurs administrations ça se présente comme ceci:

L'informaticien récupère le patch, l'installe sur le serveur dédié à l'application, ce qui déclenche la mise à jour des clients lors de leur prochaine connexion. Sauf que pour que la mise à jour fonctionne:

Si le téléchargement de la mise à jour par le client est en ftp, il faut que les flux ftp soient ouverts sur le client. C'est assez pénible à gérer sur un parefeu windows, Allez, doigts dans le nez, j'estime que dans 20 % des hôpitaux les pare-feus des ordinateurs des services administratifs sont baissés.

Le deuxième problème, c'est qu'avec ce système la mise à jour se fait avec les droits de l’utilisateur. L'IT guy a plusieurs possibilités:

• Les mises à jour nécessitent son intervention sur chaque poste.
• Il a donné les droits Lire + ecrire dans le c:\programmes\logiciels à l'utilisateur. Cette méthode n'est pas possible pour un logiciel qui inclue régulièrement dans ses mises à jour des composants tiers (librairies Microsoft etc...) qui vont se loger dans d'autres dossiers.
• Les utilisateurs du poste connaissent identifiant / mot de passe administrateur local.
• Les utilisateurs sont administrateurs de leur poste informatique.

Et je crois que malheureusement, la dernière possibilité est assez fréquente.

Je résume donc: Les macros comme point d'entrée, des pare-feu locaux baissés et parfois des utilisateurs administrateurs de leur postes, les hôpitaux sont le milieu idéal pour la prolifération de maladies nosocomiales pour un ransomware.