France

modus operandi classique mais exigences disproportionnées

Publié le : 23/08/2022 – 17:17

Un centre hospitalier du sud de l’Ile-de-France reste sous l’emprise d’un virus de type rançongiciel depuis trois jours après avoir subi une cyberattaque dans la nuit de samedi à dimanche. Les assaillants ont suivi le modus operandi classique pour ce type d’opération à un détail près : la rançon de 10 millions de dollars exigée semble absurde pour un établissement public de santé.

Cela dure depuis plus de 72 heures maintenant. Le Centre Hospitalier Sud Ile-de-France (CHSF) de Corbay-Essonne, au sud de Paris, fonctionne en “mode dégradé” depuis qu’il a été touché par une cyberattaque par ransomware dans la nuit du samedi 20 août à dimanche, 21 août.

L’accès à la plupart des ordinateurs et des instruments médicaux connectés au réseau informatique de l’hôpital était impossible en raison d’un virus installé par des cybercriminels. Ces derniers réclament une rançon de 10 millions de dollars pour retirer ce cadenas numérique des postes de travail du personnel hospitalier.

Mode opératoire classique

“Malheureusement, la situation n’a pas beaucoup évolué et l’enquête prendra plusieurs jours. […] Pour l’instant, on travaille au ralenti et on revient à la plume et au papier”, a déclaré Medhi Zegouf, président du conseil de surveillance du CHSF, interrogé par la chaîne BFM Paris Île-de-France, mardi 23 août.

Le passage en “mode dégradé” signifie que l’établissement de santé ne pourra pas enregistrer de nouveaux patients et que certaines actions et opérations médicales devront être déprogrammées, a indiqué le centre hospitalier. Seules les urgences qualifiées de « vitales » sont desservies, et le reste est transféré vers d’autres établissements de la région, précise Le Monde.

Les gendarmes du Centre de lutte contre la criminalité numérique (C3N) évaluent toujours l’étendue des dégâts et tentent de comprendre comment les cybercriminels ont pénétré la sécurité informatique de l’hôpital.

A ce stade de l’enquête, les détails de cette cyberattaque ne sont dévoilés que brièvement. Mais l’image qui commence à se dessiner “semble montrer que le modus operandi des attaquants est classique pour une attaque par ransomware”, a déclaré Jean-Baptiste Guillielmin, expert en cybersécurité chez Cybereason, basé aux États-Unis.

Le CHSF est en effet loin d’être le premier hôpital ciblé par les ransomwares. Que ce soit en France ou à l’étranger, “il y a une vague d’attaques contre ce genre de structure depuis plus d’un an”, souligne Gérôme Billois, expert en cybersécurité au sein du cabinet de conseil Wavestone.

Toutes ces attaques ont des similitudes. Par exemple, « les rançongiciels se déclenchent la nuit et le week-end. Les attaquants s’appuient sur le fait qu’avec seulement une équipe d’astreinte devant eux, il y a peu de chances que leurs abus soient bloqués”, note Jean-Baptiste Guillielmin.

Interrogations sur l’identité du gang cybercriminel

Autre similitude, dans le cas de l’hôpital de Corbeil-Essonnes, comme dans de nombreuses attaques récentes, il apparaît que les cybercriminels ont également procédé à une double exfiltration. Non seulement ils ont pris les ordinateurs en otage, mais ils ont également volé des données personnelles, qu’ils restitueront contre une deuxième rançon ou une suppression.

A ce stade, il est impossible de savoir quelles informations ont pu être récupérées par les malfaiteurs. “Cela peut inclure des données administratives et humaines liées au personnel de l’établissement – qui sont généralement les plus accessibles -, des dossiers médicaux des patients – qui sont généralement mieux protégés que d’autres – et des informations de facturation – mais dans le cas des hôpitaux publics français, ils sont gérés directement par le fisc et non par les serveurs hospitaliers », explique Jérôme Bilois.

Les principales inconnues dans cette affaire portent sur l’identité du groupe cybercriminel responsable de l’attaque et le nom du rançongiciel utilisé. Les soupçons portent principalement sur LockBit, l’un des plus importants groupes spécialisés dans l’utilisation de ransomwares. “C’est forcément de la spéculation, mais ils ont déjà réalisé des opérations similaires”, reconnaît Jean-Baptiste Guillielmin.

rançon du meurtre

Et vient ensuite la question de la rédemption. L’hôpital a immédiatement assuré qu’il ne s’agissait pas de payer les 10 millions de dollars. Premièrement, parce que l’État a pour directive de ne pas payer de rançons lorsqu’il s’agit d’institutions publiques. Mais aussi parce qu’aucun hôpital ne dispose d’une telle ressource. Même aux États-Unis, où ces installations sont privées et disposent généralement de plus de ressources, les rançons se chiffrent toujours en dizaines de milliers de dollars.

“La rançon est complètement disproportionnée. A croire que les malfaiteurs n’ont pas fait le strict minimum avant de réparer ça”, note Jérôme Bilois. En fait, les attaquants s’introduisent généralement d’abord dans les systèmes informatiques de leur cible pour effectuer un suivi. Ils recherchent des informations financières pour connaître le chiffre d’affaires et estimer combien l’établissement perdra s’il ne paie pas. “L’idée est toujours de proposer une rançon inférieure aux pertes estimées”, explique Jean-Baptiste Goulielmin.

Aucun montant de calcul ne pourrait fournir une rançon de 10 millions de dollars. Pour Jean-Baptiste Guglielmine, il est possible que le groupe ne s’attendait pas à recevoir de paiement, mais souhaitait réaliser une opération de communication. “Ces criminels savaient qu’avec une telle rançon ils feraient un bruit médiatique. C’est le genre d’initiative qu’un nouveau gang peut organiser pour se faire un nom”, explique Jean-Baptiste Guillielmin. C’est peut-être pour cela que les enquêteurs se gardent de nommer les agresseurs, pour ne pas leur faire de publicité.

Mais ce n’est pas la seule hypothèse. “Cela peut aussi être des débutants ou même de jeunes hackers qui ne savent pas encore très bien s’y prendre et qui tâtent le terrain”, précise Gérôme Billois. En 2022, un nouveau groupe – appelé Lapsus$ – a décidé de s’attaquer à des multinationales comme Microsoft et Oracle, exigeant de très grosses rançons. Plusieurs de ses membres ont été rapidement arrêtés, ce qui a permis de découvrir que leur chef n’avait que 16 ans.

Pour l’hôpital de Corbeil-Essonnes, ces questions sont presque secondaires. Il lui reste encore un long chemin à parcourir pour retrouver un semblant de normalité. « Pour ce type d’attaque, on parle généralement de trois phases : la phase d’étourdissement, qui dure environ trois jours, la phase d’investigation et de récupération des systèmes, qui dure entre deux et trois semaines, et la phase de sécurisation, qui consiste à de tout remettre en état de marche dans un nouvel environnement numérique plus sécurisé, ce qui prend généralement trois mois », explique Gérôme Billois. Un retard qui pourrait être très long pour un complexe hospitalier qui doit gérer les urgences de quelque 600.000 habitants du sud de l’Ile-de-France.