Le centre hospitalier du sud de l’Ile-de-France reste en proie à un virus rançongiciel, trois jours après avoir été cyberattaqué dans la nuit de samedi à dimanche. Les assaillants ont suivi le modus operandi classique pour ce type d’opération, à un détail près : la rançon de 10 millions de dollars exigée semble déraisonnable pour un établissement public de santé.
Déjà plus de 72 heures de durée. Le Centre Hospitalier Sud Ile-de-France (CHSF) de Corbeil-Essonnes, au sud de Paris, fonctionne en “mode dégradé” depuis qu’il a été touché par une cyberattaque par ransomware dans la nuit du samedi 20 au dimanche 21 août. L’accès à la plupart des ordinateurs et des instruments médicaux connectés au réseau informatique de l’hôpital est devenu impossible en raison du virus installé par les cybercriminels. Ces derniers réclament une rançon de 10 millions de dollars pour retirer ce digicode des postes de travail du personnel hospitalier.
Mode de fonctionnement classique
“Malheureusement, la situation n’a pas beaucoup évolué et l’enquête prendra plusieurs jours. […] Pour l’instant, nous fonctionnons au ralenti et revenons au stylo et au papier », a déclaré Medhy Zeghouf, président du conseil de surveillance du CHSF, dans un entretien accordé à la chaîne BFM Paris Île-de-France, mardi 23 août. La transition vers un “fonctionnement dégradé” signifie que l’établissement de santé ne peut pas inscrire de nouveaux patients et que certaines procédures médicales et opérations devront être reprogrammées, ont déclaré des responsables de l’hôpital. Les seules urgences prises en charge sont celles classées “vitales”, tandis que les autres sont transférées vers d’autres structures de la région, précise Le Monde. Les gardes du Centre pour la criminalité numérique (C3N) évaluent toujours l’étendue des dégâts et tentent de comprendre comment les cybercriminels ont pénétré les défenses informatiques de l’hôpital. A ce stade de l’enquête, les détails de cette cyberattaque ne sont dévoilés qu’au compte-goutte. Mais le tableau qui commence à se dessiner “semble montrer que le modus operandi des attaquants est classique pour une attaque par ransomware”, estime Jean-Baptiste Guglielmine, expert en cybersécurité au sein de la firme américaine Cybereason. Le CHSF est loin d’être le premier hôpital ciblé par les ransomwares. Que ce soit en France ou à l’étranger, “il y a une vague d’attaques contre ce genre de structure depuis plus d’un an”, souligne Gérôme Billois, expert en cybersécurité au sein du cabinet de conseil Wavestone. Toutes ces attaques ont des similitudes. Par exemple, “les rançongiciels s’activent la nuit et le week-end. Les attaquants comptent sur le fait qu’avec seulement une équipe d’astreinte devant, il y a peu de chances que leur attaque soit bloquée”, note Jean-Baptiste Guglielmine.
Interrogations sur l’identité du gang cybercriminel
Autre similitude, dans le cas de l’hôpital de Corbeil-Essonnes, comme dans de nombreuses attaques récentes, il apparaît que les cybercriminels ont également procédé à une double infiltration. Non seulement ils ont pris les ordinateurs en otage, mais ils ont également volé des données personnelles qu’ils restitueront contre une deuxième rançon ou supprimeront. Il est impossible de savoir à ce stade quelles informations ont pu être récupérées par les malfaiteurs. “Il peut s’agir de données administratives et de ressources humaines liées au personnel de l’établissement – qui est généralement le plus accessible -, des dossiers médicaux des patients – qui sont généralement mieux protégés que le reste – et des informations de facturation – mais dans le cas des hôpitaux publics français, ils sont gérés directement par le fisc et non sur les serveurs de l’hôpital », explique Gérôme Billois. Les principales inconnues dans cette affaire sont l’identité du gang cybercriminel responsable de l’attaque et le nom du rançongiciel utilisé. Les soupçons portent principalement sur LockBit, l’un des plus importants groupes spécialisés dans l’utilisation de ransomwares. “C’est forcément de la spéculation, mais ils ont déjà mené des opérations similaires”, reconnaît Jean-Baptiste Guglielmine.
Une belle rédemption
Et puis il y a la question des rançons. L’hôpital a immédiatement assuré que le paiement de 10 millions de dollars était hors de question. Premièrement, parce que l’État a pour directive de ne pas payer de rançon lorsqu’il s’agit d’organismes publics. Mais aussi pourquoi aucun hôpital ne dispose de telles ressources. Même aux États-Unis, où ces institutions sont privées et disposent généralement de plus de ressources, les rançons se chiffrent toujours en dizaines de milliers de dollars. “Les rançons sont totalement disproportionnées. Croyons que les malfaiteurs n’ont pas fait le minimum de travail avant de les verser”, note Gérôme Billois. En effet, les attaquants s’introduisent généralement d’abord dans les systèmes informatiques de leur cible pour effectuer une surveillance. Ils recherchent des données financières pour connaître le chiffre d’affaires et estimer combien d’argent l’institution perdrait si elle ne payait pas. “L’idée est toujours de proposer une rançon inférieure aux pertes estimées”, explique Jean-Baptiste Guglielmine. Aucun calcul ne pourrait conduire à une rançon de 10 millions de dollars. Pour Jean-Baptiste Guglielmine, il est possible que l’équipe ne s’attendait pas à être rémunérée, mais souhaitait faire un métier de communication. “Ces criminels savaient qu’avec une telle rançon ils feraient du bruit dans les médias. C’est le genre d’initiative qui pourrait organiser un nouveau gang pour se faire un nom”, explique Jean-Baptiste Guglielmine. C’est peut-être pour cette raison que les enquêteurs se gardent de nommer les auteurs, afin de ne pas leur faire de publicité. Mais ce n’est pas le seul cas. “Ils peuvent aussi être des débutants, voire de nouveaux hackers qui ne savent pas encore très bien s’y prendre et tâtent le terrain”, précise Gérôme Billois. En 2022, un nouveau groupe – baptisé Lapsus$ – avait décidé de s’attaquer à des multinationales comme Microsoft et Oracle exigeant de très grosses rançons. Plusieurs de ses membres furent bientôt arrêtés, si bien que l’on découvrit que leur chef n’avait que 16 ans. Pour l’hôpital de Corbeil-Essonnes, ces questions sont presque secondaires. Il lui reste encore un long chemin à parcourir pour retrouver un semblant de normalité. « Pour ce type d’attaque, on parle généralement de trois étapes : celle de la tromperie, qui prend environ trois jours, celle de l’investigation et de la restauration des systèmes, qui prend entre deux et trois semaines, et celle de la sécurité, qui consiste à restaurer les le tout opérationnel dans un nouvel environnement numérique mieux protégé, ce qui prend généralement trois mois », explique Gérôme Billois. Un délai peut-être trop long pour un complexe hospitalier censé gérer les urgences de quelque 600.000 habitants du sud de l’Île-de-France.
