Posté le juin 10, 2023 à 7:49
LA VIOLATION DU LOGICIEL MOVEIT EXPOSE LES INFORMATIONS DE 100 000 HABITANTS DE LA NOUVELLE ÉCOSSE
Un groupe de hackers aurait volé des informations personnelles appartenant à près de 100 000 employés de la régie de santé de la Nouvelle-Écosse. Les hackers ont obtenu l’accès à ces informations en exploitant une vulnérabilité zero day au sein de l’application de transfert de fichiers MOVEit. La violation de MOVEit a eu des répercussions sur de nombreuses organisations dans différents secteurs.
Le piratage de MOVEit a affecté 100 000 habitants de la Nouvelle-Écosse
L’annonce de cette violation au sein de la régie de santé de la Nouvelle-Écosse est l’une des premières exploitations signalées dans le secteur de la santé. Les acteurs de ransomware ont mis la main sur des données en exploitant une vulnérabilité au sein du logiciel MOVEit qui a depuis été corrigée.
Le département Américain de la santé et des services sociaux en matière de cybersécurité (Health Sector Cybersecurity Coordination Center) a publié une alerte indiquant que le logiciel de transfert de fichiers MOVEit avait une large empreinte. En tant que tel, l’exploitation de la vulnérabilité peut avoir des conséquences considérables dans le secteur des soins de santé et de la santé publique.
La Nouvelle-Écosse est une province maritime située sur la côte est du Canada. Son gouvernement s’appuie sur les services de transfert de fichiers MOVEit pour traiter les informations relatives aux salaires des employés. Les informations traitées par ce logiciel risquent désormais d’être exploitées par des hackers en raison de la récente violation.
Un porte-parole du gouvernement de la Nouvelle-Écosse a indiqué qu’il était en mesure de confirmer que les informations personnelles de 100 000 employés, anciens et actuels, de la Régie de la santé de la Nouvelle-Écosse avaient été affectées. Les employés concernés comprennent également ceux du centre de santé IWK et de la fonction publique.
Le porte-parole a par ailleurs précisé que le nombre d’employés concernés pourrait changer avec le temps, car une enquête est toujours en cours. Le gouvernement continuera également à informer le public lorsqu’il aura obtenu plus d’informations sur la violation. Le porte-parole a toutefois précisé que les données des patients ne semblent pas avoir été affectées lors de l’incident.
Selon le service de cybersécurité et de solutions numériques de la Nouvelle-Écosse, une enquête sur l’incident a permis de déterminer que les informations sur les employés qui ont été compromises comprennent les numéros d’assurance sociale, les adresses et les coordonnées bancaires.
L’attaque a été attribuée au groupe d’acteurs de la menace Clop ransomware-as-a-service. En début de semaine, le groupe a revendiqué l’attaque. Un problème lié à cette faille a été corrigé le 31 mai par Progress Software.
La violation a fait de nombreuses victimes
Le rapport de Progress Software indique aussi que des centaines de secteurs des soins de santé et de la santé publique, notamment des hôpitaux, des cliniques et des groupes d’assurance qui utilisaient le logiciel de transfert de fichiers MOVEit, ont été victimes de cet incident de sécurité.
Ce logiciel de transfert de fichiers est utilisé pour la facturation des soins de santé, les demandes d’éligibilité à l’assurance, les demandes de remboursement des soins de santé, les journaux d’audit, les rappels de rendez-vous, les enquêtes auprès des patients et l’extraction des dossiers médicaux des patients. Les données sensibles relatives aux soins de santé sont ainsi exposées aux hackers. Ces données pourraient être exploitées pour causer des dégâts.
Le gouvernement fédéral a en outre déclaré que les informations sensibles qui pourraient être exploitées par ces hackers comprennent les dossiers médicaux, les dossiers bancaires, les numéros de sécurité sociale et les adresses. Les organisations qui ont été ciblées par la violation sont également victimes d’extorsion de la part des groupes d’acteurs de la menace qui semblent être motivés par des raisons financières.
Le groupe de ransomware Clop extorque déjà les organisations touchées. Les hackers ont publié un avertissement indiquant qu’ils commenceraient à publier les noms des victimes à moins que celles-ci ne leur tendent la main. Ce groupe a également déclaré qu’il avait effacé les données obtenues auprès du gouvernement, de la police et des services municipaux, affirmant qu’il n’avait aucun intérêt à divulguer ces informations.
L’exploitation semble avoir des effets considérables. Certains experts en sécurité ont déclaré que l’exploitation de cette faille pourrait avoir affecté l’industrie manufacturière, l’enseignement supérieur, les entreprises de défense, les services de santé, l’énergie, la finance et le gouvernement de l’État. Les experts en cybersécurité ont suivi l’exploitation de cette faille afin d’identifier les personnes et les organisations concernées.
La situation observée avec le logiciel de transfert de fichiers MOVEit fait suite à une série d’attaques similaires signalées au début de l’année. À l’époque, des acteurs de la menace avaient publié une déclaration détaillant une faille dans une application de transfert de fichiers sécurisée connue sous le nom de GoAnywhere MFT de Fortra.
Les technologies visées par ces attaques ont fait l’objet d’une exploitation massive après qu’une vulnérabilité zero day du service de transfert de fichiers MOVEit a été affectée. L’acteur de la menace en question a volé des données appartenant à plusieurs clients dans les deux cas.
Le processus de compromission des plateformes de transfert de fichiers est une cible attrayante pour les hackers car ces organisations s’appuient généralement sur ces applications pour stocker et transférer des informations sensibles à leurs clients et partenaires. Le niveau d’exposition est donc très élevé si un groupe d’acteurs de la menace parvient à s’infiltrer dans ces systèmes, comme cela a été le cas récemment avec MOVEit.
