Données de santé : le jour où mon cœur s’est arrêté de battre – Partie 2

Données de santé : le jour où mon cœur s’est arrêté de battre – Partie 2

Dans cette 2e session, co-organisée avec la CAIH, nous avons une nouvelle fois présenté quelques pépites trouvées par nos analyses sur le Darkweb.

Vous n’avez pas pu assister à ce webinar ? Nous vous proposons de revenir sur les quelques points clés évoqués à cette occasion. 

Secteur santé : un niveau de menace très élevé

  • Forte augmentation des attaques liée au contexte Covid (campagnes de phishing, ransomwares)
  • + 20 établissements victimes de cyberattaques en 2021
  • Forte valorisation des données de santé en vente sur le Deepweb/Darkweb
  • Secteur stratégique et particulièrement ciblé
  • De plus en plus de données exfiltrées après des attaques par ransomwares

Au travers de nos analyses, nous avons pu analyser un certain nombre de menaces ciblant nos clients. En voici une sélection :

#1 – Compromission d’une base de données santé

Sur un forum du Deepweb nous avons identifié la revente d’une base de données importante. En effet, elle comportait les informations de 800 000 citoyens français avec nom, prénom, adresse, ville, numéro de téléphone. La base présentait également les numéros de sécurité sociale et des IBAN.

Les risques : campagnes de phishing, social engineering

#2 – Revente de santé sur le Darkweb

Cette pépite mixe des informations internes liées à de la gestion de projet et des informations personnelles. Projet sur le site Trello qui était public avec des infos importantes dans des fichiers excel : adresses personnelles et professionnelles, numéro de téléphone, suivi personnel et professionnel des collaborateurs, des mots de passe en clair…

Les risques : accès disponibles menant à des compromissions d’infrastructures, phishing, social engineering

#3 – Fuite d’identifiants de comptes

Nous identifions les bases compromises dans lesquelles nous identifiions des identifiants et mots de passe. Publiées régulièrement par les acteurs malveillants, nous les récupérons, les indexons et les ajoutons à une base de données que nous maintenons en interne.

Ici, on retrouve un exemple de BDD qui expose des identifiants compromis.

Les risques : les mauvaises pratiques de sécurité augmentent les risques liés à la réutilisation des mots de passe utilisés dans le cadre.

L’objectif de Serenety est d’identifier et de comprendre l’exposition des entités que nous surveillons.

Il y a un aspect surface d’attaque avec la surveillance des domaines, des IPs, de l’exposition de services, des interfaces d’administration… Nous testons également les nouvelles menaces sur le périmètre connu de nos clients (nouvelles vulnérabilités liées à Log4jpar exemples).

On retrouve en majorité : les interfaces d’administration, la création de domaines suspects, l’ouverture des ports, la création de sites de phishing ou encore les erreurs de configuration.

Il y a un aspect surface d’exposition avec la surveillance du web visible, Deepweb et Darkweb ainsi que sur les sources internes d’XMCO. On recherchera les fuites d’informations, les atteintes aux VIP ou identités de marques sur les réseaux sociaux…

On retrouve en majorité : les fuites d’identifiants, les fuites de documents sensibles, la publication de données compromises sur le Deepweb / Darkweb, les fuites d’informations techniques ou encore l’usurpation d’identité sur les réseaux sociaux.

Enfin, afin de mieux appréhender notre démarche, il est tout à fait possible de tester le service pendant 2 semaines, de manière gratuite. Nous mettons nos interlocuteurs dans la peau d’un client disposant réellement d’un abonnement au service. 

Ce résumé vous a plu ? Vous souhaiteriez en savoir davantage pour mettre en place sur stratégie de Cyber Threat Intelligence avec Serenety by XMCO ? Contactez-nous !


Adrien Guinault