Plus de 70 % des sites exposés à une cyberattaque

L’OFFICINE virtuelle est une proie facile pour les pirates. Zatazmag, un site spécialisé dans la sécurité informatique, livre une à une les preuves de la vulnérabilité des pharmacies en ligne. Car, se croyant bien protégés parce qu’agréés par l’Ordre et l’agence régionale de santé (ARS), de nombreux pharmaciens ignorent que le système de protection de leur site présente des faiblesses inquiétantes. Et exposent l’officine à des dégâts conséquents.

La sécurité des 203 sites répertoriés auprès de l’Ordre des pharmaciens a été passée au peigne fin par Damien Bancal, journaliste et créateur de Zatazmag. Venu à consulter les pages de pharmacies en ligne au hasard d’une grippe, il a été atterré par le manque de protection de ces sites. Au cours de ses investigations, l’expert en cybersécurité a répertorié pas moins de 146 sites de pharmacie en ligne présentant, selon lui, des failles importantes dans leur système de sécurité informatique. Ces failles permettent aux pirates de franchir aisément non seulement les portes de la pharmacie virtuelle, mais aussi, et c’est là le plus inquiétant, celles de la pharmacie physique.

Il y a tout d’abord les douze « alertes HTTPS » relevée par l’enquête. Elles sont liées à l’absence de « certificat SCL » valide qui crypte les échanges. Une faille mineure si l’on considère que l’internaute en sera averti par son navigateur. Il n’empêche que la mention « ce site a mauvaise réputation, souhaitez-vous vraiment poursuivre ? » fait brouillon sur la Toile. Et risque, via un amalgame fâcheux, de rejaillir sur la réputation du pharmacien lui-même. Une seule correction suffit. Pour 15 euros par an, un nouveau certificat SCL permettra d’être à jour.

Filoutage.

Il ne faut décidément pas se fier aux apparences. Les erreurs 27 ou 404 s’affichant sur la page de 27 sites pourraient à première vue, paraître inoffensives. L’internaute passe son chemin et surfe vers un site concurrent. Ce n’est pas le cas des pirates dont l’appétit s’en trouve aiguisé. Car, selon Damien Bancal, ces erreurs annoncent de manière manifeste que le pharmacien n’a pas renouvelé son nom de domaine. Une aubaine pour les malveillants qui pourront ainsi en usurper l’adresse, adresse de surcroît référencée par l’Ordre des pharmaciens !

Mais le plus gros reste le cross-site scripting, ou XSS pour les initiés. Pas moins de 97 sites de vente de médicaments en ligne ne sont pas protégés contre cette faille. XSS, qui arrive seconde à l’OWAPS (Open Web Application Security Project), le top ten des failles de sécurité le plus souvent utilisées par les visiteurs malveillants sur Internet, est le couteau suisse du pirate. Le XSS permet d’une part, grâce à l’injection d’un code arbitraire, le vol de cookie et donc la réception en temps réel des informations qui passent sur la page, les données patients, par exemple. D’autre part, le cross-site scripting peut également, comme son nom l’indique, rediriger l’utilisateur à son insu sur un autre site. Et pourquoi pas, un site de vente de médicaments de contrefaçons à l’étranger. Enfin, cette vulnérabilité est la porte ouverte au « phishing », ou filoutage. La superposition d’une fausse page identique à l’originale fait croire au patient qu’il est sur le site de son pharmacien. Il n’en est rien. L’identité ainsi usurpée laisse alors libre champ à tous les abus en matière de transaction commerciale.

Un potentiel de malveillance infini.

Pour parachever sa revue de tous les dangers, Damien Bancal a même identifié dix sites de pharmacies prédisposés à l’injection de SQL. Ces trois lettres, pour Structured Query Language, sont bien connues des pirates. Car, comme l’expose le spécialiste, « ils disposent de moteurs chargés de détecter cette faille. Un jeu d’enfant puisque c’est le site lui-même qui en donne l’indice. Le pirate entre ainsi aisément dans la banque de données et c’est le calife à la place du calife ». Ou plutôt du pharmacien. Les hackers peuvent ainsi visiter toutes les données de la pharmacie virtuelle, changer login et mot de passe, modifier les liens, renvoyer ainsi vers d’autres sites « amis », mais aussi changer les prix.

Le potentiel de malveillance est infini. Et il ne s’arrête pas à l’officine en ligne. « Par l’interconnexion avec la pharmacie physique, les pirates peuvent également diffuser de faux prix, entrer dans le stock… », met en garde le cyberspécialiste.

Des principes de précaution.

Pour Michel Faillie, la première protection contre les pirates « reste le choix d’un hébergeur agréé en données santé (comme l’y oblige le code de bonne conduite NDLR), car il est contraint à mettre en place des mesures de sécurité plus importantes ». Le dirigeant de Hegyd, agence spécialisée dans le e-Business qui a développé le site du réseau de pharmacies en ligne, Pharmarket.com, indique par ailleurs, que le choix d’un système propre constitue le meilleur des remparts. Il sera de toute façon plus cher de configurer un site à partir d’un logiciel gratuit que de faire du sur-mesure avec des « outils propriétaires ».

Le sur-mesure est également préconisé par le développeur de l’une des plus anciennes pharmacies en ligne françaises. « Chaque officine a un profil et des besoins différents. De plus, les mises à jour doivent être régulières. Seul le développeur peut les réaliser à l’aide de clés de cryptage connues de lui seul et de son empreinte digitale », expose Bruno Marie, de la société Web-Interactive.

Une solution mutualisée.

Reste que cette sécurité a un prix. Compter 12 000 à 15 000 euros pour la conception du site et un coût de maintenance annuel d’au moins 3 000 euros, auquel il faut ajouter le coût de l’hébergement chez un hébergeur agréé santé estimé à au moins à 500 euros par mois. Cet investissement n’est pas toujours bien évalué par les pharmaciens. Sans compter que ces titulaires sont tributaires de la vigilance de leur prestataire. « C’est là la faille du dispositif. Les contrôles effectués par l’ARS et l’Ordre ne portent pas sur la sécurité technique car ce n’est pas là leur domaine de compétence », objecte Jérôme Lapray, responsable marketing de Pharmagest. Pour combler ce déficit et offrir une option plus abordable aux pharmaciens, le développeur de solutions informatiques pour l’officine déploiera à partir de janvier, la commercialisation de sites de vente en ligne. « Il ne s’agit pas d’une solution comme on peut en trouver par une web agency. Nous ne ferons pas de site à façon. Il sera possible de choisir, dans un premier temps, entre quatre modèles mais chaque titulaire pourra néanmoins construire son propre catalogue », prévient Jérôme Lapray, également contributeur de ce produit dénommé « Offishop ». En revanche, hébergeur agréé santé, Pharmagest garantit outre une sécurisation informatique maximale, l’optimisation du référencement de ces sites et une interconnexion avec les stocks de l’officine via le logiciel LGPI. Cette alternative permettra aux titulaires de se lancer rapidement et à moindre risque sur le web. Le design en moins, la sécurité en plus.