L’étrange piratage de 33 millions de numéros de sécurité sociale
14 février 22:14, par anasovskyL’attaque a été d’une simplicité de débutant. Du point d’un hacker, ce n’est pas vraiment une attaque. En fait, les organismes de tiers-payants permettent à certains professionnels de santé habilités d’accéder aux données de sécu dans le cadre de leurs travail.
Ces accès se font par une application web à laquelle le se connectent les personnes habilités avec leur compte pour effectuer des requêtes et obtenir des informations sur les patients.
Les "hackeurs" ont obtenu un compte et ont développé un programme (dit "robot") qui simule des requêtes faites par utilisateur (le professionnel de santé). Ce robot effectue sur plusieurs jours des centaines de milliers de requêtes sans être détecté. Cette technique est à la porté du plus nul des bricoleurs informatiques.
Le problème vient du coté des tiers-payants qui ont mal conçu leur système. Bien qu’ils ont ce qu’il faut pour parer à des robots qui font des requêtes de masse (les hébergeurs ou les serveur web savent comment parer à un seuil de requêtes par unité de temps), ils n’on pas conçu de parade à un robot qui fait des milliers de requêtes AVEC LE MEME COMPTE.
Il suffit donc pour le "hacker" d’être légèrement en dessous du seuil de l’hébergeur ou du serveur web pour échapper aux radars.
Pour ce cas là, l’insécurité a eu deux causes :
La cause sociale :
Le professionnel de santé qui s’est fait piquer son compte a probablement soit partagé ses accès soit il les a mal sécurisés (une fois dans un bureau de la DRH, j’ai pu tranquillement lire les accès à Monster.fr qui étaient écrit sur un postit :-D ).
La conception du système
Quand le système implique des données à caractère personnel, normalement, il ne faut pas se contenter de parer des requêtes de masse par seuil, mais ils faut mettre en place un seuil PAR COMPTE. Dans notre cas aucun professionnel de la santé ne peut justifier de faire des centaines de requête par seconde sur plusieur heures ou plusieurs jours.
Exemple :
100 requêtes par seconde sur 5 jours c’est largement en dessous du seuil de requête de masse paré par l’hébergeur ou le serveur web, mais très suffisant pour piquer des données de plusieurs millions de patients
Avec notre exemple le nombre de patients récupérés est le suivant 5x24x3600x100 = 43 millions.