L'outil d'analyse de la sécurité du code source des applications de Pradeo a permis la découverte d’une vulnérabilité dans le code d’une bibliothèque open source très répandue, à destination des développeurs. Disponible en téléchargement libre auprès de la communauté, ce module d’interface qui permet de laisser des commentaires comportait une faille permettant de récupérer un droit administrateur sur l’application.
La vulnérabilité a été découverte par la société Hopinnov, pionnière dans la digitalisation de la logistique hospitalière et utilisatrice de la solution d’analyse de code source de Pradeo. La startup basée à Rennes a construit une partie de son application en open source, convaincue par ses avantages.
Elévation des privilèges : une seule ligne de code vulnérable suffit
La vulnérabilité critique a été détectée par l’outil d’analyse de la sécurité du code source des applications de Pradeo. Sa détection a permis à Sébastien Valentini, Président et Cofondateur d’Hopinnov, de la faire remonter aux personnes responsables du module. Ils ont assuré sa résolution en quelques jours, grâce à une ligne de code corrective.
Dans le cadre de la solution POC & PICK d’Hopinnov, le module de commentaire touché par la faille permet aux accédants de partager leurs retours concernant les protocoles opératoires : la préparation des salles opératoires, le matériel utilisé, la disposition de la salle, l'installation du patient…
Cette vulnérabilité ouvrait la porte à une élévation des privilèges qui aurait pu s’avérer problématique concernant les données de l’hôpital. Un cybercriminel aurait pu récupérer des identifiants et mots de passe d’administrateur et ainsi se connecter simplement à l’interface. Ouvrant la possibilité de modifier à souhait les protocoles opératoires et de récupérer toutes les informations disponibles dans l’application.
Une approche complémentaire entre audit et pentesting
Heureusement, avant la commercialisation de son application, Hopinnov a réalisé un test d’intrusion en auditant son code source grâce à la solution de Pradeo, couplée à du pentesting. Cette approche complémentaire leur a permis de mettre au grand jour cette vulnérabilité exploitable et est maintenant utilisée de manière régulière pour limiter les risques.
Après une réanalyse de l’application d’Hopinnov par la solution de Pradeo suite à la correction de la vulnérabilité, celle-ci et par extension le module commentaire open source sont désormais sécurisés.
Avec Pradeo, l’entreprise de Sébastien Valentini s’assure en continu que le code de son application ne présente pas de vulnérabilité. En effet, l’outil intégrant des analyses spécifiques à la santé et offrant un mécanisme disruptif de détection et de remédiation des vulnérabilités selon les pratiques de programmation sécurisées, lui a permis de sécuriser son code dès la conception.
Les personnels soignants utilisateurs peuvent désormais commenter l’aspect logistique et préparatoire d’un bloc opératoire, en toute sécurité. La modification du protocole est réservée à des personnes dûment habilitées, de même que l'accès à certaines informations clés.
« L’analyse de la sécurité du code des applications réalisée par l’outil de Pradeo nous a permis d’intégrer de manière optimale et au plus tôt le risque cyber, élément essentiel dans un secteur tel que celui de la santé, fréquemment touché par les cyberattaques et aux enjeux critiques. Hopinnov, en tant qu’éditeur de logiciel, a pour mission de simplifier le travail des personnels hospitaliers et nous nous devons d’assurer une sécurité maximale et permanente de notre logiciel. » Affirme Sébastien Valentini Président et Cofondateur d’Hopinnov.
À propos de Pradeo : Pradeo offre des solutions pour protéger les applications et terminaux mobiles. La technologie Pradeo Security est reconnue par Gartner, IDC, Forrester et Frost & Sullivan comme l'une des plus avancées du marché. Elle assure une détection précise des menaces, prévenant ainsi l'exfiltration d’information à partir des mobiles et renforçant la conformité aux lois de protection des données.