La faille qui a permis à un pirate de dérober les mots de passe d’un demi-million de patients belges, a été entre-temps colmatée. Le fait est que le site web avait, il y a des années déjà, été prévenu d’une sécurité laxiste comme le non-cryptage des mots de passe.
VTM Nieuws annonçait hier qu’un pirate avait mis la main sur des noms, mots de passe et numéros de téléphone de patients via digitalewachtkamer.be, une plate-forme utilisée par de nombreux médecins pour enregistrer leurs rendez-vous en ligne. Mais il semble que le système lui-même présente quelques imperfections.
“La faille proprement dite a été colmatée, il y a une dizaine de jours”, explique Ronny Paesen, l’homme à l’initiative de Digitalewachtkamer.be, à Data News. “L’outil a été alors mis quelque temps hors ligne pour effectuer les ajustements. C’est le hacker lui-même qui avait pris contact avec nous durant la semaine.”
Le pirate a donc dérobé les données de centaines de milliers de patients belges qui ont par le passé déjà convenu d’un rendez-vous auprès de leur médecin de famille via Digitale Wachtkamer. Il est question ici de leurs noms, des dates de rendez-vous, des mots de passe qu’ils ont utilisés pour ce compte, mais dans de nombreux cas aussi des numéros de téléphone, adresses et commentaires éventuels qu’ils ont laissés en la circonstance.
Cryptage ou pas?
Le fait que toutes ces données puissent être tout simplement lues, peut indiquer qu’elles ont été stockées sans avoir été cryptées, ce qui avait été il y a des années déjà explicitement déconseillé par des experts en sécurité. Paesen en personne le dément: “Les mots de passe dans la base de données étaient bien cryptés, mais il se fait que le pirate a d’une manière ou d’une autre réussi à les déchiffrer.”
Techniques de cryptage modernes
Cela peut paraître une explication plausible, mais cela ne tient guère la route avec la manière dont une base de données en ligne doit être sécurisée par les temps qui courent. La façon la plus simple de crypter une base de données de mots de passe consiste à y attribuer soi-même un mot de passe, mais quiconque parvient à le maîtriser, y a aussitôt accès.
Une meilleure approche consiste à ‘hacher’ les mots de passe stockés. Ceux-ci sont en l’occurrence convertis via un algorithme en différents signes indéchiffrables. A ce moment, il n’est en effet plus possible de lire un mot de passe de la base de données, mais uniquement vérifier si un mot de passe saisi correspond à la valeur de hachage dans la base de données.
Déjà averti en 2013
Si les données étaient effectivement cryptées, il semble qu’il s’agisse alors d’une protection très faible ou dépassée. Mais entre-temps, on apprend aussi que quand l’utilisateur oubliait son mot de passe, Digitale Wachtkamer l’envoyait tout simplement sous forme de texte simple à son adresse e-mail. C’est une procédure aisée, mais qui prouve que les mots de passe étaient conservés sans hachage, ce qui les rendait aisément lisibles ou déchiffrables en cas de vol.
Or Digitale Wachtkamer en avait été informée. C’est ainsi que l’entrepreneur internet Jeroen Ceyssens nous informe avoir prévenu le site en 2013 déjà que l’envoi de mots de passe sous forme de texte simple impliquait de sérieux risques de sécurité. Ceyssens révéla par la même occasion un autre problème de sécurité, qui fut résolu, lui, un peu plus tard.
Quiconque signale aujourd’hui avoir oublié son mot de passe via la plate-forme, en reçoit automatiquement un nouveau, mais qui lui est envoyé actuellement encore sous forme de texte simple. “Nous allons changer cela bientôt”, promet Paesen.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici