Une 0-day au cœur du vol de données de 1,4 million de Franciliens testés Covid-19

Hitachi Vantara distribue à ses clients, depuis ce dimanche 19 septembre, un correctif de sécurité pour une vulnérabilité inédite, une 0-day, ayant affecté Hitachi Content Platform Anywhere (HCP Anywhere). C’est celle-là qui au cœur du service Dispose de l’AP-HP.

Nos confrères du Monde expliquent que le service Dispose a été utilisé pour le transfert de données de tests entre juin et octobre 2020, avant la mise en œuvre du SI-DEP, utilisé notamment par l’Assurance-maladie pour le contact-tracing.

Le 17 septembre, AP-HP confirmait avoir informé les personnes concernées par un vol de données personnelles suite à une attaque informatique. Dans un communiqué de presse daté du 15 septembre, elle expliquait avoir porté plainte « après avoir constaté le vol de fichiers contenant des données nominatives, à la suite d’une attaque informatique conduite au cours de l’été et confirmée le 12 septembre dernier ». Et de préciser que « les fichiers dérobés concernent environ 1,4 million de personnes, presque exclusivement pour des tests réalisés mi-2020 en Île-de-France ».

Nos confrères du Monde expliquent que l’AP-HP a été avertie par l’Agence nationale pour la sécurité des systèmes d’information (Anssi) le 30 août de l’existence d’une faille dans le service Dispose.

De son côté, Hitachi Vantara indique avoir été informé d’une « vulnérabilité potentielle », le 13 septembre, « par l’un de nos clients ». Trois jours plus tard, son équipe d’ingénierie identifiait « un jeu d’occurrences complexes et rares, susceptibles de résulter en une vulnérabilité si un pirate venait à s’en servir ».

Dans un premier temps, un script a été écrit pour contenir le problème. Il a été diffusé à partir du 17 septembre. Mais le lendemain, un correctif était développé et testé sur les instances HCP Anywhere d’Hitachi Vantara. Il est depuis distribué à ses clients.