Santé : l’éditeur du logiciel médical Weda coupe ses services « par précaution »

C’est ce mercredi 12 novembre, en début de matinée, que plusieurs sources ont commencé à solliciter LeMagIT : Weda ne répond plus et plusieurs dizaines de milliers de professionnels de santé sont affectés.

Weda, c’est un éditeur de logiciels métiers en mode SaaS pour médecins généralistes, spécialistes mais aussi sage-femmes, maisons de santé, centre de santé, ou encore le paramédical.

Dans son offre, on trouve de quoi gérer le dossier médical, avec assistant de consultation, assistant vocal de génération des comptes-rendus de consultations – 85 000 praticiens sont revendiqués –, ou encore gestion des prescriptions. À cela s’ajoute un agenda médical, des outils de collaboration dont une messagerie, ainsi que des outils de gestion administrative. Weda fait partie du groupe Vidal depuis l’automne 2020.

Plusieurs praticiens confirment être « retournés au papier crayon » quand d’autres parlent de « paralysie totale ».

C’est ce lundi 10 novembre, à 23h, que Weda a fermé l’accès à ses services SaaS. Dans un message adressé à ses utilisateurs, dont copie nous a été fournie, l’éditeur indique que, quelques heures plus tôt, ses « équipes ont détecté une activité inhabituelle sur certains comptes utilisateurs, laissant penser à des tentatives d’accès non autorisés ».

C’est donc « par précaution », explique Weda, que la « plateforme a été mise en maintenance […] afin de stopper immédiatement toute possibilité de fuite de données ».

L’éditeur indique que, « depuis cette décision, [ses] équipes techniques et de cybersécurité travaillent sans relâche, en collaboration avec des experts externes, pour renforcer les mesures de protection ». Et d’assurer que « la faille d'accès est fermée et aucune nouvelle activité suspecte n’a été détectée ».

Las, explique Weda, « les premières analyses indiquent que les accès malveillants auraient pu permettre une extraction partielle de données, mais ni l’ampleur ni la confirmation formelle d'une fuite de données ne sont encore établies ». L’éditeur ne fournit pas de calendrier de relance de ses services SaaS et explique que « la réouverture du service ne se fera qu’après validation complète de la sécurité par [ses] experts ».

Nous avons sollicité les commentaires de Weda et du groupe Vidal, en leur adressant nos questions usuelles en de telles circonstances. Elles sont sans réponse à l’heure où nous publions ces lignes.

Dans une telle situation, déterminer si des données ont été volées, lesquelles, et en quelle quantité peut prendre du temps. La description faite de l’incident à ce stade peut suggérer un détournement d’identifiants légitimes de professionnels de santé utilisateurs des applications métier de Weda.

Hudson Rock a référencé plus de 55 comptes d’utilisateurs des services SaaS de l’éditeur ainsi compromis par cleptogiciel – ou infostealers. Des compromissions étant survenues sur les postes de travail des utilisateurs et pas sur les systèmes d’information de Weda.

Un tel scénario n’aurait hélas rien d’exceptionnel. Le groupe d’acteurs malveillants Stormous nous l’a encore rappelé fin octobre à l’occasion de la revendication d’une prétendue cyberattaque contre France Travail.