La chasse aux cybercriminels, qui ont attaqué deux centres hospitaliers français, Dax et Villefranche-sur-Saône, sera longue et semée d'impasses. Mais la traque va s'accélérer pour les neutraliser. "Nous ne connaissons pas l'origine exacte des attaques de Dax et de Villefranche-sur-Saône, qui sont très vraisemblablement des attaques, qui ont été conduites par des cybercriminels avec des fins qui sont lucratives", souligne l'Élysée avant la présentation par Emmanuel Macron ce jeudi de l'accélération de la stratégie nationale en matière de cybersécurité dans le cadre d'un plan de l'ordre de 1 milliard d'euros. Une chose est sûre les deux attaques ont suivi "un mode opératoire qui est identique avec le recours à un rançongiciel dont le petit nom est Ryuk", observé pour la première fois en août 2018.
En France, "il y a eu 27 attaques majeures d'hôpitaux en 2020, il y en a une par semaine depuis 2021", a estimé mercredi le secrétaire d'État à la transition numérique Cédric O, interrogé au Sénat lors des questions au gouvernement sur l'attaque ayant ciblé le centre hospitalier de Dax (Landes) dans la nuit du 8 au 9 février.
Selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI), "en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé, secteur qu'il attaquerait depuis le premier semestre 2019". Ce rançongiciel serait vendu comme un "toolkit" (boite à outils) à des groupes d'attaquants. ce qui pourrait expliquer son activité intense. "Ryuk demeure un rançongiciel particulièrement actif au cours du second semestre 2020, a relevé dans une note en novembre 2020 l'ANSSI. En outre, Ryuk "se distingue de la majorité des autres rançongiciels par le fait qu'au moins l'un de ses opérateurs a attaqué des hôpitaux en période de pandémie", a-t-elle assuré. Contrairement à certains des cyberattaquants les plus connus qui avaient officiellement annoncé qu'ils ne s'en prendraient plus aux établissements hospitaliers durant la crise sanitaire.
Pas de rançon de payée
Alors pourquoi Dax et Villefranche-sur-Saône ? Difficile de connaître la motivation des cybercriminels mais l'ANSSI estime que plusieurs attaquants différents sont impliqués dans des chaînes d'infection aboutissant au déploiement de Ryuk. A l'Élysée, on estime que le système de santé français, et plus généralement le système de santé, "n'est pas spécifiquement ciblé" et rappelle qu'on est sur "une tendance qui touche tous les secteurs dans tous les pays". "Ce n'est que la manifestation d'une criminalité et d'une conflictualité croissante dans le cyberespace où se transpose un contexte qui existe aussi dans la vie réelle", précise-t-on. Dernière explication, les cybercriminels opèrent de façon très opportuniste. "Ces attaques reposent en général sur des recherches indiscriminées de machines qui sont vulnérables à des failles existantes mais connues des seuls cybercriminels. Et donc, elles sont exposées à ces attaques", avance l'Elysée.
"Ils essayent partout, un peu partout, confirme le patron de l'ANSSI, Guillaume Poupard. Il n'y a pas forcément une obsession portée sur les hôpitaux. Mais quand ça fonctionne dans un hôpital, ils y vont quand même. Ça ne leur coûte pas très cher, à eux. Et donc ça vaut toujours le coup d'essayer de leur part".
La question du ciblage des hôpitaux français est d'autant plus étonnante que l'Élysée "déconseille de payer la rançon réclamée parce que le paiement d'une rançon, comme dans d'autres domaines, ne garantit en rien la récupération des données chiffrées". Contrairement aux États-Unis où certaines victimes ont payé des rançons. Par ailleurs, rien n'empêche un attaquant ou un autre de revenir ultérieurement. Le patron de l'ANSSI, Guillaume Poupard, est d'ailleurs très ferme. "Sur le fait de payer ou pas payer (une rançon, ndlr), pour les acteurs publics, que ce soit des collectivités locales ou des administrations ou des hôpitaux, il est très clair que la consigne est extrêmement stricte de ne pas payer, et donc ces acteurs-là ne payent pas", affirme-t-il.
Il est donc clair "que ce soit à Dax ou à Villefranche, il n'y aura pas de rançon de payée". D'autant que les rançons sont importantes et s'élèvent en millions d'euros, souvent via des bitcoins comme modalité de paiement. "Ce qui permet pour l'attaquant de penser qu'il est protégé en termes d'anonymat", précise Guillaume Poupard, qui suggère néanmoins que l'attaquant n'est pas totalement à l'abri.
L'ANSSI présent à Villefranche et à Dax
L'hôpital de Dax pourrait remis en service dès ce jeudi. "Pour tout vous dire, sur Dax, le cœur de réseau est en train d'être reconstruit au moment où on se parle et j'espère qu'il sera terminé ce soir (mercredi soir, ndlr). Et donc, à partir de demain (jeudi, ndlr), on va pouvoir progressivement rebrancher les différents services", estime le directeur général de l'ANSSI. Les équipes de l'ANSSI ont été très vite déployées sur place dans les deux centres hospitaliers en pilotage des prestataires qualifiés, qui interviennent sur l'investigation et sur la remise en route des deux hôpitaux. L'objectif est "un retour à la normale le plus rapide qui soit", affirme l'Élysée. Car, selon la directrice adjointe de l'hôpital de Dax, Aline Gibet, "nous n'avons accès à aucune base de données des patients. Les traitements et les historiques (des patients, ndlr) ne sont pas accessibles".
"Si tout se passe bien, on peut espérer la récupération d'un certain nombre de données et la remise en service de plusieurs applicatifs métier", estime l'Élysée. Le gros du travail consiste à recréer une sorte de cœur de réseau de confiance sur lequel vont ensuite pouvoir être raccordés progressivement les différents services informatiques en vérifiant à chaque fois qu'on ne permet pas à l'attaquant de re-rentrer dans ce cœur de confiance. "On fait ça progressivement, explique Guillaume Poupard. (...) Enfin, l'étape supplémentaire, c'est là où la question des sauvegardes est fondamentale, consiste à repeupler ces systèmes d'information avec leurs données d'origine grâce à ces sauvegardes, quand heureusement on arrive à les trouver". Notamment les dossiers des patients.
"Que ce soit le cas de Dax ou de Villefranche, je reste prudent, mais aujourd'hui, on a un bon espoir de récupérer l'ensemble des données pour les deux établissements, et sans payer de rançon, on devrait récupérer ça dans des sauvegardes. Je préfère être clair", affirme le patron de l'ANSSI.
Renforcement des systèmes d'informations des hôpitaux
Depuis huit mois, le ministère de la Santé accélère les actions visant à mieux protéger les établissements hospitaliers. L'agence numérique en santé travaille à des diagnostics auprès des différents établissements depuis plusieurs mois, pour identifier les points de faiblesse et travailler avec les directeurs de services des établissements de santé pour envisager des plans correctifs. Il est prévu notamment d'élever "le niveau minimal exigé, y compris par la réglementation de mise à niveau en termes de sécurité de des principaux établissements de santé", explique-t-on dans l'entourage de Cédric O.
En France, l'inexorable chute de la productivité inquiète les économistes (48)
Sujets les + commentés