La sécurité de Telemis-Medical face aux cyber-attaques

Louvain-La-Neuve (Belgium), 18. Juin 2020 - En 2019, plusieurs établissements de santé ont été la cible d'attaques par ransomwares.

Ce fut par exemple le cas, en Belgique, de la Clinique André Renard qui a été la cible d’un ransomware par le virus Cryptolocker, de type cheval de Troie, avec un dommage estimé à quelques 300.000 EUR.^[1]

En France, dans le sud-ouest, c'est un pôle d'imagerie médicale qui a subi les mêmes déboires, avec le cryptage de toutes les données de tous les serveurs sur tous les sites d'implantation du groupe, avec une demande de rançon de milliers de Bitcoins (1 Bitcoin = 6.970 EUR).

Suite à ces attaques et aux articles parus dans la presse, les hôpitaux et autres établissements de santé sont de plus en plus soucieux de la sécurité de leurs systèmes informatiques et comptent sur leurs partenaires pour les épauler dans ce nouveau défi. C’est dans le but d’informer les 379 centres équipés des solutions Telemis qu’est proposé ci-dessous un récapitulatif des dernières améliorations au niveau de la sécurité.

Le PACS Telemis est installé sur les serveurs internes de l’établissement. Ses fonctionnalités ne sont accessibles que de l'intérieur où son accès est par ailleurs sécurisé par login. Les radiologues peuvent également se connecter à domicile à l’aide du TM-Home qui est protégé par un VPN sécurisé. Un pirate informatique ne pourrait donc pas accéder au PACS de l'extérieur via Internet. Le PACS pourrait cependant être indirectement victime d'un rançongiciel, notamment via un PC insuffisamment protégé qui propagerait un cryptovirus à travers le réseau informatique d’un établissement.

La seule porte d'entrée du PACS Telemis accessible depuis Internet est le portail de diffusion d’imagerie médicale, appelé TM-Publisher Web. Celui-ci pourrait être la cible d’attaques malveillantes. C'est la raison pour laquelle certains centres de santé ont fait appel à des sociétés externes pour faire des audits de sécurité du TM-Publisher Web. Des tests d’intrusion ont été effectués et ont permis de déceler certaines failles. Afin de pallier à ces failles et d’assurer une sécurité optimale, Telemis a apporté des améliorations substantielles aux versions 4.90 et 4.95 de son PACS. C’est donc dans cette optique et également pour répondre au souhait de nombreux utilisateurs que Telemis a mis en place un système de génération aléatoire des URL du TM-Publisher Web afin de ne plus afficher de code prédictif dans celles-ci. De plus, les accès au TM-Publisher Web sont désormais tracés dans des fichiers journaux grâce à un nouveau système d’audit répondant au profil ATNA (Audit Trail and Node Authentification) de l’IHE (Integrating the Healthcare Enterprise).

Telemis recommande systématiquement l’installation d’un “Reverse Proxy” de préférence associé à une DMZ (Demilitarized Zone) pour les applications web. En outre, il n'est désormais plus possible de voir la technologie de serveur utilisé par le TM-Publisher Web pour tenter d’en exploiter les vulnérabilités. Enfin, la faiblesse de configuration du protocole TLS (Transport Layer Security) supportant des versions antérieures à TLS1.2 peut aisément être évitée en adaptant la configuration du TM-Publisher Web de manière à ne plus supporter que la version TLS1.2 et ainsi diminuer les risques de vulnérabilité. Dans ce cas, les anciennes versions de navigateur ne pourront plus accéder au TM-Publisher Web.

Pour plus d’informations :

Les cyber-attaques de systèmes informatiques peuvent prendre de multiples formes, comme :

Le phishing : Une fenêtre pop-up s’affiche et propose de cliquer pour récupérer le lot gagné ou encore un faux email demande d’introduire des identifiants. Dès que l’on clique sur un lien de ce type, on expose toutes ses données personnelles que le pirate peut voler.

Les ransomwares, rançongiciels : Une personne pirate un ordinateur ou un serveur et crypte toutes les données à l’aide d’un crypto-virus, logiciel malveillant qui chiffre les données des serveurs et postes de travail, pour ensuite demander une rançon afin de récupérer ces données.

Les scripts intersites ou cross-site scripting (XSS): Une pratique qui consiste à injecter du contenu malveillant dans une page web, ce qui corrompt le navigateur de la cible. Cela permet au pirate de modifier la page selon ses envies, de voler des informations sur des cookies ou de récupérer des données sensibles.

Ces trois types d’attaque sont les plus fréquentes aujourd’hui, bien qu’il en existe d’autres.