Des hôpitaux français eux aussi victimes de chantage informatique

Mi-février, le centre médical presbytérien d’Hollywood révélait que son système informatique était intégralement paralysé. La cause ? Le logiciel de chantage Cryptolocker, un programme qui chiffre et rend illisibles les données d’un PC tant qu’un code de déblocage n’est pas saisi. Code pour lequel il faut payer une rançon aux administrateurs du logiciel…Les urgences et les malades nécessitant des soins particuliers – plus de 900 patients – de l’hôpital ont été rapidement transférés dans des établissements alentours, et le centre médical a décidé, après une dizaine de jours de statu quo, de payer une rançon, revue à la baisse, de 40 bitcoins (un peu plus de 15 000 euros) par rapport au montant record de 9 000 bitcoins (3,2 millions d’euros) demandé au départ.

La France n’est pas épargnée

Les attaques de ce type se multiplient un peu partout dans le monde depuis quelques années. En France, le laboratoire d’analyses LABIO avait subi une attaque similaire en avril 2015 et avait décidé de ne pas payer de rançon au groupe de pirates Rex Mundi. Le laboratoire avait pu désactiver les serveurs et accès touchés, mais une partie des données séquestrées – près de 15 000 dossiers de patients au total – avaient été diffusées par les pirates sur le Dark Web.

Cedric Cartau, responsable sécurité des systèmes d’information au CHU de Nantes et Pays de la Loire, se veut réaliste sur le sujet : « Il y a environ mille hôpitaux en France, et à peine 50 responsables sécurité des systèmes d’information. La situation n’est pas plus enviable dans les structures privées, et c’est encore pire dans le médico-social. Dans 95 % des cas, il n’y a personne pour se préoccuper de sécurité informatique. »

Il est donc logique que plusieurs établissements de santé de l’Hexagone aient subi des tentatives d’extorsion de ce genre, estime Vincent Trély, président de l’APSSIS (Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé). Mais les hôpitaux français préfèrent en général garder le silence. « Toutes les semaines, je suis informé d’un ou deux cas, note M. Trély. Mais Il y a une sorte d’omerta sur le sujet, ce qui est compréhensible, les établissements de santé ne sachant pas trop comment communiquer sur ce problème. Et ne souhaitant sans doute pas le faire, ce qui peut se comprendre. »

Plusieurs modes de transmission

Le cas le plus répandu de transmission du « virus » est la pièce jointe piégée envoyée par email – un fichier ZIP compressé, Microsoft Word ou Adobe PDF le plus souvent. Dont « CTB Locker », qui se glisse dans de faux mails de relance de facture, qui a touché la France en début d’année 2015. Plus récemment, certains logiciels malveillants se sont aussi diffusés via des fenêtres « pop-up » de publicité invasive sur lesquelles il ne fallait surtout pas cliquer.

Dans certains cas récents, les virus s’activaient même sans que l’internaute n’ouvre un fichier piégé : en naviguant simplement sur Internet, l’affichage d’une publicité malveillante programmée en langage Java ou fonctionnant avec les extensions Adobe Flash Player ou Microsoft Silverlight peut tester les failles de l’ordinateur et l’exploiter, permettant au pirate d’y accéder sans se faire repérer.

Autre évolution récente de ces logiciels, certaines versions récentes s’attaquent également aux espaces de stockage dématérialisés. Le cas récent d’une infection sur l’ensemble des données d’une société conservant tous ses fichiers sur le service Google Drive a depuis fait école.

Les antivirus se mettent à jour

Certains de ces logiciels de rançons restent mal détectés par les antivirus. Cependant, les éditeurs russe Kaspersky et japonais Trend Micro proposent depuis quelque temps des outils de décryptage pour les ransomwares les moins évolués. L’éditeur d’antivirus BitDefender, spécialisé dans la lutte contre Cryptolocker et Cryptowall, a élaboré un vaccin contre ce dernier.

De son côté, la société Malwarebytes vient de diffuser – en version de test – un logiciel anti « rançongiciel » gratuit : programmé pour surveiller toute l’activité d’un ordinateur, il détecte les actions classiques des programmes de verrouillage, et, « une fois qu’il a suffisamment de preuves pour déterminer qu’il s’agit bien d’un ransomware, bloque l’infection et le met en quarantaine avant qu’il ne commence à chiffrer les fichiers des utilisateurs », précise l’éditeur.

Mais la véritable solution pour ne pas (trop) subir de désagréments est de suivre à la lettre le bon vieil adage du « mieux vaut prévenir que guérir », résumé par Guillaume Poupard : « si les sauvegardes sont bien faites, ça va. » Sans oublier, rappelle Cédric Cartau, la « mise à jour régulière des systèmes d’exploitation et des protections virales ». Des précautions qui permettent d’éviter de devoir payer des sommes qui peuvent être importantes à des escrocs qui peuvent facilement se procurer des logiciels de ce type, à un prix modique, sur des sites de vente clandestins.

Source: Le Monde. Lire l’article dans son intégralité ici.

Publicités
Cet article, publié dans Evolutions numériques, Management, Risques et menaces, Système de santé et gouvernance, Systèmes d'information, Technologies, est tagué , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s