Fuite d’identifiants de connexion de personnels d'établissements de santé

Le CERT-FR a informé le ministère de la santé de la mise en vente sur un forum cybercriminel d'une liste de 50,000 comptes utilisateurs (login/mot de passe) appartenant vraisemblablement à des agents de centres hospitaliers. 
Le fichier vendu depuis le 04/02/2021 se nomme "FR medicine related database". 
Pour le moment seuls quelques noms de domaines d'établissements ont été identifiés, ces derniers ont été prévenus directement. 

Contexte : 

Il est difficile de qualifier précisément l'origine de cette fuite mais l'impact que peut avoir l'utilisation de couples login/mot de passe des agents sur la sécurité des systèmes d'information des établissements est plus facilement évaluable : 

  • Tentatives de connexion aux moyens d’accès distants (OWA, VPN…). 
  • Une fois la connexion réussie, les attaquants peuvent utiliser toutes les ressources allouées au compte compromis pour s’introduire dans le système d’information.

Plus d'informations quant aux mesures à mettre en place vis-à-vis de cette fuite de donnes sont disponibles dans l'onglet "Recommandations". 

Recommandations
+

Par mesure de précaution, il est recommandé d’initier une campagne de renouvellement des mots de passe des systèmes d’information en veillant à ce que ces derniers soient conformes aux préconisations de l’ANSSI : https://www.ssi.gouv.fr/guide/mot-de-passe/

Cette campagne devra être ordonnée de la façon suivante : 

1.  Remplacement des mots de passe de comptes ayant un accès distant au système d’information (OWA, VPN, …) : 

  • Traiter en priorité les comptes à privilèges.
  • Traiter les comptes utilisateur dans le même temps. 

2. Veiller à ce que le remplacement périodique des mots de passe de tous les comptes soit en place. Le mettre en œuvre si ce n’est pas le cas. 

3. Veiller à ce que le processus de revue des comptes soit bien en place. Placer tous les comptes n’ayant pas été utilisés depuis plus de 3 mois dans une unité organisationnelle ne permettant plus l’utilisation du compte sans réactivation par une personne ayant vérifié l’identité du demandeur. 

Il est recommandé de garder un niveau de vigilance élevé, en particulier de vérifier régulièrement : 

  • les journaux d’évènements des équipements périmétriques ; 
  • les sauvegardes et de s'assurer de la capacité à restaurer une copie hors-ligne. 

Par ailleurs, il est vivement recommandé d’utiliser un mode d’authentification multifacteur pour les accès à distance. 

En cas d'infection par un rançongiciel, veuillez suivre scrupuleusement les mesures préconisées par la cellule ACSS et l’ANSSI, disponibles sur les liens suivants : 

https://www.cyberveille-sante.gouv.fr 

https://www.ssi.gouv.fr/actualite/ne-soyez-plus-otage-des-rancongiciels/ 

https://www.cyberveille-sante.gouv.fr/cyberveille-sante/2315-se-proteger-contre-les-rancongiciels-2021-01-15 

https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares 

Un document décrivant l'état de la menace rançongiciel est disponible ici : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-001.pdf