Cyberattaque d'un hôpital : un mode opératoire classique mais des exigences démesurées

RANçONGICIEL Le Centre hospitalier sud francilien, d'une capacité d'un millier de lits, fonctionne au ralenti depuis une cyberattaque dans la nuit du samedi 20 au dimanche 21 août. Le Centre hospitalier sud francilien demeure sous l’emprise d’un virus de type rançongiciel trois jours après avoir subi une cyberattaque dans la nuit de samedi à dimanche. Les assaillants ont suivi le modus operandi classique pour ce genre d’opération à un détail près : la rançon de 10 millions de dollars exigée paraît absurde pour un établissement public de santé. Déjà plus de 72 heures que cela dure. Le Centre hospitalier sud francilien (CHSF) de Corbeil-Essonnes, au sud de Paris, fonctionne en "mode dégradé" depuis qu’il a été frappé par une cyberattaque par rançongiciel dans la nuit du samedi 20 au dimanche 21 août. L’accès à la plupart des ordinateurs et instruments médicaux reliés au réseau informatique de l’hôpital a été rendu impossible par le virus installé par les cybercriminels. Ces derniers exigent une rançon de 10 millions de dollars pour ôter ce cadenas numérique aux postes de travail du personnel de l’hôpital. Mode opératoire classique "La situation n’a malheureusement pas beaucoup évolué et l’enquête va prendre plusieurs jours. [...] Pour l’instant, on fonctionne au ralenti et on est revenus au stylo et au papier", a indiqué Medhy Zeghouf, président du conseil de surveillance du CHSF, interrogé par la chaîne BFM Paris Île-de-France, mardi 23 août. Le passage en "mode dégradé" signifie que l’établissement sanitaire ne peut pas enregistrer de nouveaux patients, et que certains actes médicaux et opérations vont devoir être déprogrammés, ont précisé les responsables du centre hospitalier. Les seules urgences prises en charge sont celles qualifiées de "vitales", tandis que les autres sont transférées vers d’autres établissements de la région, précise Le Monde. Les gendarmes du Centre de lutte contre les criminalités numériques (C3N) sont encore en train d’évaluer l’ampleur des dégâts et essaient de comprendre comment les cybercriminels ont pénétré les défenses informatiques de l’hôpital. À ce stade de l’enquête, les détails de cette cyberattaque ne sont rendus publics qu’au compte-gouttes. Mais le tableau qui commence à se dessiner "semble indiquer que le modus operandi des assaillants est classique pour une attaque par rançongiciel", estime Jean-Baptiste Guglielmine, expert en cybersécurité pour la société américaine Cybereason. Le CHSF est en effet loin d’être le premier hôpital à être la cible d’un rançongiciel. Que ce soit en France ou à l’étranger, "il y a depuis plus d’un an une vague d’attaques contre ce genre de structures", souligne Gérôme Billois, expert en cybersécurité du cabinet de conseil Wavestone. Toutes ces attaques présentent des similitudes. Par exemple, "les rançongiciels sont déclenchés la nuit et durant le week-end. Les assaillants comptent sur le fait qu’avec seulement une équipe d’astreinte en face, il y a peu de chance que leur méfait soit bloqué", note Jean-Baptiste Guglielmine. Des questions sur l’identité du gang de cybercriminels Autre similitude, dans le cas de l’hôpital de Corbeil-Essonnes, comme dans bon nombre d'attaques récentes, il semblerait que les cybercriminels ont aussi réalisé une double exfiltration. Ils ont non seulement pris les ordinateurs en otage, mais ont également dérobé des données personnelles qu’ils rendront contre une deuxième rançon ou effaceront. Impossible de savoir à ce stade quelles informations ont pu être récupérées par les criminels. "Il peut s’agir des données administratives et RH relatives au personnel de l’établissement – qui sont généralement les plus accessibles –, des dossiers médicaux des patients – qui sont d’ordinaire mieux protégés que le reste – et des informations de facturation – mais dans le cas des hôpitaux publics français, c’est géré directement par le fisc et non pas sur les serveurs de l’hôpital", détaille Gérôme Billois. Les principales inconnues dans cette affaire concernent l’identité du gang de cybercriminels responsable de l’attaque et le nom du rançongiciel utilisé. Les soupçons se portent principalement sur LockBit, l’un des plus importants groupes spécialisés dans l’utilisation de rançongiciels. "C’est forcément de la spéculation, mais ils ont déjà effectué des opérations similaires", reconnaît Jean-Baptiste Guglielmine. Une rançon ubuesque Et puis il y a la question de la rançon. L’hôpital a immédiatement assuré qu’il n’était pas question de payer les 10 millions de dollars. D’abord parce que l’État a pour ligne directrice de ne pas payer les rançons quand il s’agit d’institutions publiques. Mais aussi parce qu’aucun hôpital n’a de tels moyens. Même aux États-Unis où ces établissements sont privés et disposent généralement de plus de moyens, les rançons restent de l'ordre de plusieurs dizaines de milliers de dollars. "La rançon est totalement démesurée. À croire que les criminels n’ont pas fait le travail minimum avant de la fixer", note Gérôme Billois. En effet, les assaillants s’introduisent généralement d’abord dans les systèmes informatiques de leur cible pour faire du repérage. Ils cherchent les informations financières afin de connaître le chiffre d’affaires et estimer combien l’établissement perdrait d’argent s’il ne payait pas. "L’idée est toujours de proposer une rançon inférieure aux pertes estimées", précise Jean-Baptiste Guglielmine. Aucun calcul n’aurait pu aboutir à une rançon de 10 millions de dollars. Pour Jean-Baptiste Guglielmine, il est possible que le groupe ne s'attende pas à être payé, mais voulait faire une opération de com’. "Ces criminels savaient qu’avec une telle rançon, ils feraient du bruit médiatique. C’est le genre d’initiative qu’un nouveau gang pourrait organiser pour se faire un nom", précise Jean-Baptiste Guglielmine. C’est d’ailleurs peut-être pour ça que les enquêteurs se gardent de nommer les assaillants, pour ne pas leur faire de publicité. Mais ce n’est pas la seule hypothèse. "Il peut aussi s’agir de débutants, voire même de jeunes pirates informatiques qui ne savent pas encore très bien comment faire et tâtent le terrain", estime Gérôme Billois. En 2022, un nouveau groupe – baptisé Lapsus$ – s’était mis en tête d’attaquer des multinationales comme Microsoft et Oracle en exigeant des rançons très importantes. Plusieurs de ses membres ont rapidement été arrêtés, ce qui a permis de découvrir que leur leader n’avait que 16 ans. Pour l’hôpital de Corbeil-Essonnes, ces questions sont presque secondaires. Il a encore un long chemin à parcourir pour retrouver un semblant de normalité. "Pour ce type d’attaque, on parle généralement de trois temps : celui de la stupéfaction, qui dure environ trois jours, celui de l’enquête et de la restauration des systèmes, qui dure entre deux et trois semaines, et celui de la sécurisation, qui consiste à tout remettre en état de marche dans un nouvel environnement numérique mieux protégé, ce qui prend généralement trois mois", détaille Gérôme Billois. Un délai qui peut être très long pour un complexe hospitalier censé gérer les urgences pour environ 600 000 habitants du sud de l’Île-de-France.