Un centre hospitalier à Corbeil-Essonnes a été victime d’un rançongiciel ce week-end. Si la somme demandée par les pirates ne sera pas probablement pas réglée, les données dérobées pourront toujours s’avérer utiles pour les malfaiteurs.

10 millions de dollars. C’est la somme astronomique exigée par un groupe de hacker à un centre hospitalier à Corbeil-Essonnes (Île-de-France), après l’avoir attaqué avec un rançongiciel. L’opération a été menée dans la nuit du samedi 20 août au dimanche 21 août, selon un communiqué de l’établissement confirmant une information de RMC.

L’hôpital situé au sud de Paris prévient que son activité est sérieusement perturbée et ne peut accueillir de patients pour des douleurs bénignes. Gilles Calmes, le directeur général de l’établissement, a déjà prévenu l’AFP que la somme ne sera pas versée. La règle établie en France est de ne pas payer les rançons.

Pourquoi des hackers malveillants s’en prennent-ils à des hôpitaux ?

Que peuvent faire les hackers maintenant d’une base de données qui provient d’un centre hospitalier ? Pour les pirates, ce n’est jamais perdu.

« En dehors de la rançon, les données personnelles sont un business lucratif et la quantité d’informations privées que détiennent les hôpitaux – adresse, pathologie, pièce d’identité, carte vitale – peut se revendre à bon prix », nous indique Jérôme Soyer, directeur chez Varonis, société spécialisée dans la cybersécurité. « Généralement, les malfaiteurs commencent par du chantage en publiant quelques extraits sur un site ou un forum, avant de discuter avec d’autres groupes pour voir les plus offrants », ajoute-t-il.

Il suffit d’ailleurs de se rendre sur les forums de hackers — ouvert à tous, il faut juste connaitre l’adresse — pour tomber sur de nombreuses infos privées issues d’établissements de santé. Ces derniers sont même des cibles privilégiées, étant donné que le personnel manque souvent de qualification en hygiène numérique, tandis que les données sont précieuses et ne sont pas suffisamment protégées. Selon un rapport de Varonis, un nouvel employé dans le secteur de la santé a accès à 31 000 fichiers sensibles dès son premier jour de travail.

vente données personnelles hackées
Une annonce de vente de données personnelles issues d’une fuite d’établissement hospitalier repérée sur un forum de hacker. // Source : Numerama

Félix Aimé, chercheur en cybersécurité de Sekoia.io, indique à Numerama avoir répertorié 80 piratages d’hôpitaux officiellement revendiqués par des pirates pour le premier semestre de l’année. « Habituellement, les groupes les plus connus ont tendance à déclarer leur cyberattaque sur leur site et menacent d’y dévoiler les données dérobées. Cette fois [pour Corbeil-Essones, ndlr], on n’a constaté aucune revendication, mais les experts ont quelques soupçons », ajoute l’expert.

La question du paiement d’une rançon

Étant donné la somme demandée, la cible et le message de rançon en anglais, les indices conduisent à une attaque du groupe Lockbit ou Vice Society. Le premier, le plus connu, n’est pas en capacité de publier une revendication sur son site, puisqu’il subit une attaque DDoS, d’une probable ancienne victime. Les deux organisations ont déjà plusieurs établissements de santé dans leurs lots de victime.

En bon prince, Locbkit interdit aux utilisateurs de son logiciel malveillant le chiffrement ou l’endommagement des données dérobées aux hôpitaux, afin de ne pas risquer la vie des patients. Le vol est parfaitement admis, en revanche.

Il se pourrait néanmoins que le hacker ait mal jugé sa cible. Si les cliniques privées sont courantes aux États-Unis, l’hôpital français dispose de moins de moyen et ne pourra jamais régler la somme demandée.

Contacté par Numerama, Alexandre Archambault, avocat spécialiste dans le droit du numérique, nous explique que « le principe de libre administration des collectivités territoriales (art. 72 de la Constitution) ne leur interdit pas de se livrer à des opérations que la morale peut réprouver. C’est donc plus complexe que cela n’en a l’air, surtout si, par exemple le paiement (d’une partie) de la rançon n’est pas déconseillée par les services enquêteurs afin de pouvoir gagner du temps et remonter la filière.» Si le groupe de hacker sera peut-être révélé, peu de chance qu’ils soient arrêtés dans la foulée.