Des hôpitaux français eux aussi victimes de chantage informatique
Des hôpitaux français eux aussi victimes de chantage informatique
Par Olivier Dumons
La paralysie récente d’un hôpital américain par un programme qui bloque et rend illisibles tous les fichiers sans versement de rançon, a ravivé les inquiétudes liées à la conservation des données de santé. Mais aussi à la sécurité des patients.
Le "Hollywood Presbyterian Medical Center", hôpital américain situé à Los Angeles dont les systèmes et réseaux informatiques ont été bloqués pendant une dizaine de jours par un "rançongiciel" (ransomware) de type Cryptolocker. | Wikipedia
A la mi-février, aux Etats-Unis, le centre médical presbytérien d’Hollywood révélait que son système informatique était intégralement paralysé. La cause ? Locky, un tout nouveau logiciel de chantage de type Dridex, qui chiffre et rend illisibles les données d’un PC tant qu’un code de déblocage n’est pas saisi. Pour obtenir ledit sésame, il faut se résoudre à payer une rançon aux administrateurs du programme…
Le service des urgences et les malades nécessitant des soins particuliers – soit plus de 900 patients –, ont été rapidement transférés dans des établissements alentours. Mais le centre médical s’est finalement résigné, après une dizaine de jours de statu quo, à payer une rançon, certes revue à la baisse, de 40 bitcoins (l’équivalent d’un peu plus de 15 000 euros). Au départ, c’est un montant record de 9 000 bitcoins (soit 3,2 millions d’euros) qui était exigé.
La France n’est pas épargnée
Les tentatives de chantage se sont multipliées un peu partout dans le monde depuis quelques années. En France, le laboratoire d’analyses LABIO en avait subi une tentative d’extorsion en avril 2015, après un piratage de ses serveurs. Il avait décidé de ne pas verser de rançon au groupe de pirates auquel il était confronté, baptisé Rex Mundi. L’entreprise avait réussi à désactiver les serveurs et les accès touchés. Les pirates avaient alors publiés onze résultats d’analyses médicales et une liste d’identifiants et de mots de passe, dont les accès avaient été désactivés par l’enterprise.
Le monde médical est loin d’être le seul touché : le Canard Enchaîné révélait ainsi dans son édition du 20 janvier que le ministère français des transports venait de subir, lui aussi, une infection de type « CryptoWall ». « On en voit partout, y compris dans d’autres ministères », devait confirmer Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) lors du Forum international de la cybersécurité qui se tenait à Lille les 25 et 26 janvier.
Cedric Cartau, le responsable sécurité des systèmes d’information au centre hospitalier universitaire (CHU) de Nantes et Pays de la Loire, se veut réaliste sur le sujet : « Il y a environ mille hôpitaux en France, mais à peine cinquante responsables sécurité des systèmes d’information. La situation n’est pas plus enviable dans les structures privées, et c’est encore pire dans le médico-social. Dans 95 % des cas, il n’y a personne pour se préoccuper de sécurité informatique. »
Il est donc logique que plusieurs établissements de santé de l’Hexagone aient subi des tentatives d’extorsion de ce genre, estime Vincent Trély, le président de l’Association pour la promotion de la sécurité des systèmes d’information de santé (APSSIS). Mais les hôpitaux français préfèrent en général garder le silence.
« Toutes les semaines, je suis informé d’un ou deux cas, note M. Trély. Mais Il y a une sorte d’omerta sur le sujet, ce qui est compréhensible, les établissements de santé ne sachant pas trop comment communiquer sur ce problème. Et ils ne souhaitent sans doute pas le faire, ce qui peut se comprendre. »
Plusieurs modes de transmission
Aujourd’hui, le cas le plus répandu de transmission d’un « virus » est la pièce jointe piégée envoyée par courriel – il s’agit d’un fichier ZIP compressé, document Microsoft Word ou Adobe PDF le plus souvent. Le « CTB Locker » – inséré dans de faux mails de relance de facture – a touché la France au début de l’année 2015. Plus récemment, certains logiciels malveillants se sont également diffusés via des fenêtres « pop-up » de publicités invasives, sur lesquelles il ne fallait surtout pas cliquer.
Dans certains cas récents, le virus s’est même activé sans que l’internaute n’ouvre un fichier piégé. Une simple navigation sur Internet peut déclencher l’infection. L’affichage d’une publicité malveillante programmée en langage Java ou fonctionnant avec les extensions Adobe Flash Player ou Microsoft Silverlight permet en effet de tester les failles d’un ordinateur, donnant ainsi au pirate la possibilité d’y accéder sans se faire repérer.
Dernière évolution de ces logiciels : certaines versions diffusées en fin d’année 2015 s’attaquent également aux espaces de stockage dématérialisés. Le cas d’une infection sur l’ensemble des données d’une entreprise conservant tous ses fichiers sur le service Google Drive a depuis fait école.
Les antivirus se mettent à jour
Certains de ces logiciels de rançons restent mal détectés par les antivirus. Cependant, les éditeurs russe Kaspersky et japonais Trend Micro proposent depuis quelque temps des outils de décryptage pour les ransomwares les moins évolués. L’éditeur roumain d’antivirus BitDefender, spécialisé pour sa part dans la lutte contre Cryptolocker et Cryptowall, a élaboré un « vaccin » contre ce dernier.
De son côté, la société californienne Malwarebytes Corporation vient de diffuser – mais en version de test – un logiciel anti « rançongiciel » gratuit : il est programmé pour surveiller toute l’activité d’un ordinateur et il détecte les actions classiques des programmes de verrouillage. « Une fois qu’il a suffisamment de preuves pour déterminer qu’il s’agit bien d’un ransomware, ce logiciel bloque l’infection et met le virus en quarantaine avant qu’il ne commence à chiffrer les fichiers des utilisateurs », précise l’éditeur.
Mais la véritable solution pour ne pas (trop) subir de désagréments consiste à suivre à la lettre le bon vieil adage du « mieux vaut prévenir que guérir », résumé par Guillaume Poupard : « Si les sauvegardes sont bien faites, ça va. » Sans oublier, rappelle Cédric Cartau, la « mise à jour régulière des systèmes d’exploitation et des protections virales ». Il s’agit de précautions qui permettent d’éviter d’être contraint de payer des sommes importantes à des escrocs qui peuvent facilement se procurer des logiciels de ce type, à un prix modique, sur des sites de vente clandestins.
Mise à jour le 14 mars : ajout de précision sur les documents publiés par le groupe Rex Mundi.