2. Technos & Medias

  3. Informatique

Cyberattaque : pourquoi le gang LockBit cherche à aider l'une de ses victimes

Les cybercriminels de LockBit, qui ont paralysé l'hôpital de Corbeilles-Essonne plus tôt dans l'année avec leur rançongiciel, s'en sont cette fois pris à un hôpital canadien pour enfants, SickKids. Mais près de deux semaines après la cyberattaque, ils ont présenté publiquement leurs excuses et publié un outil pour réparer les dégâts causés. De quoi s'interroger de nouveau sur l'étrange éthique des cybercriminels.
François Manens
Les cybercriminels ont-ils vraiment une éthique ?
Les cybercriminels ont-ils vraiment une éthique ? (Crédits : Kacper Pempel)

Parfois, les cybercriminels ont des remords. Le 31 décembre, le gang LockBit, l'un des plus actifs de ces derniers mois, a publié gratuitement un décrypteur sur son blog. Cet outil doit permettre de réparer les dégâts causés par le logiciel malveillant avec lequel il chiffre les ordinateurs de ses victimes pour les rendre inutilisables, appelé rançongiciel dans le jargon.

En temps normal, LockBit ne fournit le décrypteur qu'en échange du paiement d'une rançon, à hauteur de plusieurs milliers voire millions d'euros selon le statut de l'organisation touchée et l'ampleur des dégâts. Mais cette fois n'était pas comme les autres : la victime de LockBit était l'un des plus gros hôpitaux pédiatriques du Canada, nommé SickKids.

Lire aussiCybersécurité des hôpitaux : le recrutement, le talon d'Achille de la politique du gouvernement

La limite éthique dépassée

A posteriori, les opérateurs de l'organisation cybercriminelle ont estimé que ce ciblage dérogeait à leurs règles d'éthique, et décidé en conséquence de corriger leurs torts. Il leur aura tout de même fallu plus de 13 jours pour agir, puisque l'hôpital avait été frappé le 18 décembre. « Nous nous excusons formellement pour l'attaque contre sickkids.ca, et fournissons le décrypteur gratuitement. Le partenaire qui a attaqué cet hôpital a violé nos règles, est bloqué, et ne fait plus partie de notre programme d'affiliation », écrivent-ils sur leur blog.

LockBit trace donc la limite à ne pas dépasser aux hôpitaux pour enfants, mais la frontière n'en reste pas moins floue. Fin août, ce même gang avait infecté l'hôpital de Corbeilles-Essonne en France pour tenter de le rançonner de plusieurs millions d'euros, provoquant la désorganisation des urgences ou encore le décalage du calendrier des opérations pendant plusieurs semaines. Pire, les cybercriminels ont mis leurs menaces en application et publié les données volées, dont celles de patients, après les refus répétés de payer la rançon de la part du centre hospitalier.

Pourtant, en théorie, LockBit interdit à ses affiliés de bloquer les « institutions médicales », où des questions de vie et de mort pourraient être influencées par l'attaque. Seul le vol de données est autorisé contre ce type d'organisation. Plusieurs gangs ont des chartes éthiques similaires, qu'ils suivent très aléatoirement : même pendant la période de tension du Covid, ils dérogeaient à la règle. Car dans les faits, les hôpitaux sont de « bonnes » victimes pour eux : pressés par l'urgence et les potentielles conséquences graves d'un arrêt de leur activité, ils sont en plus disposés à céder au paiement de la rançon dans l'espoir de rétablir leurs systèmes au plus vite.

Le décrypteur n'est pas une solution miracle

Heureusement dans ce cas, la cyberattaque n'avait touché qu'une partie des systèmes de SickKids, parmi lesquels se trouvaient entre autres les lignes téléphoniques internes et le site. Dans un communiqué, l'hôpital expliquait alors que l'incident avait causé des retards dans la réception des résultats de tests de laboratoire, avec pour conséquence en bout de chaîne de plus long temps d'attente pour les patients.

Deux jours avant que le décrypteur soit mis à disposition, le 29 décembre, SickKids a déclaré qu'il avait restauré 50% des systèmes prioritaires, dont ceux qui causaient des retards dans les diagnostiques et les traitements. Le 1er janvier, ils ont ajouté qu'ils évaluaient l'utilisation du décrypteur avec l'aide d'experts extérieurs. A raison : les décrypteurs fournis par les gangs ne sont pas des outils clés en main. Il faut dans tous les cas les réécrire pour pouvoir commencer à déchiffrer les données. De plus, la méfiance est de mise : si ces outils sont mal écrits, ils peuvent empirer la situation au lieu de la résoudre. C'est pourquoi la réécriture de décrypteur est souvent intégrée aux prestations de réponse à incident.

L'hôpital a d'autant plus raison de ne pas se précipiter qu'il n'a pas forcément besoin de l'outil. Comme une majorité de victimes, il a décidé de restaurer et reconstruire ses systèmes à partir des sauvegardes. Ce processus, long et onéreux, peut mener à une facture équivalente voire supérieure au paiement de la rançon, mais il offre en contrepartie la garantie que le système a été reconstruit sur des bases saines, débarrassé de la présence de l'intrus.

Reste que le décrypteur pourrait servir à récupérer des fichiers qui ont échappé aux sauvegardes et il est particulièrement utile pour les organisations moins structurées, qui n'ont pas de sauvegardes suffisamment importantes ou régulières, comme les petites collectivités locales.

Lire aussiCyberattaques : pourquoi interdire le paiement des rançons est une fausse bonne idée

La faute rejetée sur un individu

Les opérateurs de LockBit rejettent la faute sur le partenaire (ou affilié, dans le jargon) qui a orchestré l'attaque. Comme l'écrasante majorité des organisations cybercriminelles, le gang fonctionne sur un modèle as-a-service. Autrement dit, il fournit ses outils -dont le cryptolocker, le logiciel de chiffrement- et l'accès à sa plateforme -où sont affichées et négociées les demandes de rançons- à des affiliés qu'il trie parmi les candidatures. Ces derniers mènent l'entièreté de l'attaque, de l'infiltration sur le réseau au déploiement des outils malveillants, puis la négociation est prise en charge par les opérateurs. En cas de rançonnage réussi, LockBit garde environ 20% de la somme et l'affilié empoche le reste.

Avec ce mode de fonctionnement, chaque affilié agit dans son coin et les opérateurs n'ont connaissance de la cyberattaque qu'une fois réussie. Ils s'exposent ainsi à des débordements de la part de leurs partenaires, qui provoquent de trop l'attention des autorités. Par exemple, la cyberattaque contre le gestionnaire d'oléoducs américain Colonial Pipeline avait mené le gang DarkSide à sa perte. En menaçant de paralyser tout un pan de l'économie de la côte Est américaine, elle avait mobilisé toutes les autorités, jusqu'au plus au niveau de l'Etat. Ces dernières avaient lancé la traque des responsables, publiant même une offre de prime contre tout renseignement, ce qui avait poussé le groupe à s'auto-dissoudre.

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.