Le centre hospitalier d’Arles touché par un virulent ransomware, en pleine vague de Covid-19

Must Try

Pas de trêve estivale pour les cybercriminels. Nouvel acteur parmi les gangs de pirates, Vice Society a publié mercredi sur son site de revendication le nom d’une nouvelle victime de son rançongiciel : le centre hospitalier d’Arles. Comme souvent lors de ce type d’attaque informatique, ils menacent de publier des documents siphonnés.

Mais la cyberattaque s’est déroulée début août et ses conséquences continuent de se faire ressentir. Des serveurs ont été touchés et chiffrés par le « ransomware », des postes de travail sont paralysés et, pis, les précieuses sauvegardes des données ont elles aussi été rendues illisibles.

« Nous vivons une situation compliquée depuis 15 jours en mode dégradé avec le retour du papier pour le traitement des dossiers des patients », reconnaît Laurent Donadille, le directeur de l’établissement. « Mais cela n’a pas eu heureusement trop d’impact sur la prise en charge des patients en pleine recrudescence de l’épidémie de Covid dans notre région », constate-t-il.

Une faille de sécurité improbable

Les téléphones fixes et le site Internet du centre hospitalier aux 450 lits fonctionnent. Mais les professionnels de santé n’ont pas accès aux antécédents des patients et le logiciel des ressources humaines, utilisé notamment pour la paie, est toujours coupé.

Apparu récemment sur les radars, Vice Society pénètre dans le réseau informatique de sa cible à la faveur d’une opération de phishing puis exploite une vulnérabilité très en vogue en ce moment et baptisée PrintNightmare. « Ils détournent la fonctionnalité print spooler, la file d’attente des tâches d’impression de Windows, pour exécuter un code à distance et prendre la main », explique Hicham Bouali, directeur technique de One Identity, une entreprise spécialisée dans la gestion des identités et des accès. « Ils arrivent ensuite à élever leurs privilèges d’accès jusqu’au niveau System et ont toute la latitude pour diffuser leur rançongiciel sur tout le réseau de la victime ». Les données sont alors chiffrées et rendues illisibles.

Sur son site sur le DarkNet, Vice Society qualifie cyniquement ses victimes de « partenaires ». DR/

Dans une stratégie malheureusement bien éprouvée, les hackers font ensuite appel à la double extorsion : ils vont d’abord en privé essayer de vendre à la victime la clé de déchiffrement des données, le sésame pour les débloquer. Mais si la cible possède un moyen de restaurer ses sauvegardes et refuse de payer, ils actionnent un deuxième levier : la menace publique de publier les données siphonnées sur leur site de fuites ou de les revendre au plus offrant.

« Nous ne paierons pas la rançon »

C’est donc bien dans la phase 2 de leur plan que les opérateurs du rançongiciel essayent d’extorquer l’établissement public. « Nous avons reçu une demande de rançon mais nous n’avons même pas lu le montant car nous ne la paierons pas », confirme le directeur de l’hôpital. Une plainte a été déposée auprès de la police et l’enquête est entre les mains du pôle spécialisé dans la cyber du parquet de Paris. Retrouver la trace des attaquants sera un défi.

Ce gang de pirates traîne la réputation sulfureuse de s’en prendre en priorité aux établissements scolaires et aux structures éducatives. Mais aussi plus récemment à un réseau d’hôpitaux en Nouvelle-Zélande.

La plupart des groupes de pirates avaient pourtant acté un moratoire sur les attaques en pleine pandémie de Covid-19 contre les établissements de santé.

Des hôpitaux français comme Dax ou Villefranche-sur-Saône avaient été la cible en début d’année d’une violente campagne d’attaques informatiques avec demande de rançons. Emmanuel Macron avait annoncé en février des moyens supplémentaires pour les établissements hospitaliers et l’Agence nationale de la sécurité des systèmes d’information (Anssi) qui veille à la mise en place de meilleurs protocoles de sécurité.

Aidé par un prestataire privé et grâce à l’aide matérielle des hôpitaux de Martigues ou de Salon de Provence, le CH d’Arles entend reconstruire son infrastructure et relancer son système informatique d’ici la fin du mois. En moyenne, les hôpitaux touchés par un logiciel malveillant ont malheureusement mis 3 à 4 mois à s’en remettre.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Latest Recipes

Block title

More Recipes Like This

Voir aussi