« Les hôpitaux paient 80 à 90% du temps parce qu’ils n’ont pas le choix. » Ce diagnostic est prononcé par Aleks, un cybercriminel interrogé par Cisco Talos. Face à ce constat, les hackers sans considérations éthiques n’hésitent pas faire des établissements de santé leurs cibles prioritaires.

Le 9 février 2021, Sud-Ouest et France Bleu ont tous deux prévenu que le centre hospitalier public Dax-Côte d’Argent était victime d’une cyberattaque. L’établissement a lui-même communiqué sur ses réseaux sociaux : son standard téléphonique ne fonctionne plus, les patients doivent donc contacter le 15 (numéro de téléphone du Samu) pour toute prise en charge.

La cyberattaque contre l’hôpital de Dax a tous les symptômes d’un ransomware

Un rançongiciel peut paralyser tous les appareils de soin. // Source : Illustration par Lucie Benoit pour Numerama

À Sud-Ouest, Aline Gilet-Caubere, directrice adjointe de l’hôpital de Dax-Côte d’Argent, explique que les hackers ont chiffré la « la totalité de [leur] systèmes d’information ». Autrement dit, le malware utilisé par les attaquants s’est répandu sur tous le système informatique (ordinateurs, machines…) et a transformé tous les fichiers qu’il a croisés en une suite de chiffres et de lettres incompréhensibles. Pour pouvoir inverser ce genre de chiffrement, il faut utiliser la clé cryptographique qui a servi à le créer. Sans cette clé détenue par les cybercriminels, les documents demeureront illisibles, les logiciels continueront de ne plus fonctionner, et les machines resteront inertes. Ainsi, Aline Gilet-Caubere explique que l’hôpital a dû mettre en place des « procédures dégradées en mode papier », et se passer de tout outil informatique.

La description de la cyberattaque par les deux journaux locaux a tous les signes d’une attaque rançongiciel, aussi appelée ransomware. Mais ni la victime ni les autorités n’ont encore prononcé ce diagnostic.

Un dilemme en vue pour l’hôpital ?

Si la cyberattaque se révèle être un rançongiciel, alors l’hôpital se confronte en ce moment même à un dilemme. Qui dit rançongiciel, dit demande de rançon en échange de la clé qui permettra de réparer les dégâts, et de revenir à la normale. À partir de là, deux choix se présenteraient à la direction :

  • Payer pour rétablir son système informatique au plus vite. C’est l’option déconseillée en théorie, mais choisie par bon nombre de victimes. En plus de récompenser les cybercriminels, le paiement de la rançon implique de leur faire confiance. Sauf que rien n’empêche les malfrats de doubler le montant demandé au dernier moment. Ensuite, régler l’incident de cette manière ne dispense pas d’une analyse profonde des systèmes. Récemment, l’autorité des données britannique évoquait le cas d’une entreprise qui avait payé ses rançonneurs sans nettoyer son système. Résultat, les cybercriminels l’ont réattaquée quelques mois plus tard, car ils n’avaient pas perdu leur accès.
  • Restaurer son système à partir des sauvegardes. Cette option, conseillée, permet d’ignorer les cybercriminels, mais elle n’est pas sans inconvénient, loin de là. Déjà, elle est dépendante de la consistance et de la régularité du système de sauvegarde de l’organisation. En fonction de ces critères, il peut y avoir une perte de données entre l’heure de l’attaque et celle de la dernière sauvegarde. Ensuite, ce processus peut être long (parfois plusieurs mois) et laborieux, et donc coûter de l’argent. Pour rappel, tant que le système informatique n’est pas rétabli, l’organisation fonctionne au ralenti.

Pas de données volées ?

La directrice adjointe de l’hôpital précise à Sud Ouest que les données des patients n’ont pas été volées, et si cette information est confirmée, l’établissement serait particulièrement chanceux. Afin d’empêcher les victimes d’ignorer leurs demandes de rançon, les cybercriminels ont généralisé une pratique pernicieuse : ils menacent de publier ou de vendre les documents de l’entreprise, dont ils ont fait une copie avant le chiffrement. Plus de 19 organisations cybercriminelles ont créé un blog dédié à ce chantage à la publication, et il faut espérer qu’aucune d’entre elles ne soit derrière l’attaque du centre hospitalier de Dax.

À France Bleu, des personnels de l’hôpital ont indiqué que les bloc opératoires pourraient ne plus prendre de patients en charge, à cause de l’arrêt des stérilisateurs, tandis le difficile accès aux dossiers patients poserait un problème dans l’organisation des radiothérapies et chimiothérapies. Les cybercriminels ont conscience de ces difficultés, et en profitent. Lorsqu’il s’agit d’une question de vie ou de mort d’un patient, l’envie de payer la rançon pour résoudre l’incident au plus vite est forte. Certains gangs de cybercriminels affirment qu’ils épargnent les hôpitaux pour des raisons éthiques. Mais dans les faits, peu le font, malgré le contexte sanitaire difficile.

Cette attaque n’est malheureusement pas une première pour les hôpitaux français. En 2019, le CHU de Rouen avait dû faire face à un ransomware, mais il s’était tiré de la situation délicate en quelques semaines.