Hôpital, rançongiciel et cyberperturbation

infosecUn rançongiciel a pour but de prendre en otage les informations essentielles de l’organisation ciblée, lui faisant ainsi craindre pour sa survie.

Mais si ses informations critiques ne sont pas menacées, accepter de payer la rançon simplement pour reprendre au plus vite ses activités normales, c’est encourager le changement de nature de ce type de cyberattaque. Le ransomware devient une arme de cyberperturbation…

Le 5 février dernier, le Hollywood Presbyterian Medical Center (Californie) essuyait une cyberattaque via un rançongiciel (ransomware). Ce programme malveillant a apparemment pénétré le réseau informatique de l’hôpital par l’entremise d’un courriel de hameçonnage. Se répandant rapidement dans les systèmes, il s’est mis à chiffrer tous les fichiers informatiques qu’il rencontrait.

Il n’a pas fallu attendre longtemps pour que le fonctionnement de l’hôpital soit largement perturbé : dossiers-patient inaccessibles, systèmes de rendez-vous, de laboratoire et de pharmacie inopérants, communications par courriel impossibles,… Avec en bout de ligne un allongement des files d’attente et une réorientation de plusieurs patients des urgences vers d’autres hôpitaux.

Le rançongiciel aurait ensuite affiché les prétentions de ses auteurs : pour récupérer la clé de chiffrement des fichiers, il faudrait payer une rançon de 9.000 Bitcoins, soit 3,4 millions de dollars américains!

Après 10 jours d’interruption des systèmes et malgré l’intervention d’experts informatiques et l’implication du FBI et de la police de Los Angeles, la direction de l’hôpital s’est résolue à payer la rançon qui, entre-temps, avait été abaissé à… 17.000 $. L’hôpital a donc pu reprendre ses activités normales.

Tout est-il donc pour le mieux dans le meilleur des mondes possible ? La réponse est non.

Tout va très bien, Madame la Marquise… mais on paie la rançon.

Le moins que l’on puisse dire dans cette affaire, c’est que la communication de l’hôpital n’a pas été d’une grande transparence. À l’image du communiqué officiel censé mettre un point final à l’incident.

Chargeur En cours de chargement…
Logo EAD Cela prend trop de temps ?

Recharger Recharger le document
| Ouvert Ouvrir dans un nouvel onglet

En effet, si l’on en croit le PDG de l’hôpital, Allen Stefanek :

guillemethollywood-presbyterianIt is important to note that this incident did not affect the delivery and quality of the excellent patient care you expect and receive from Hollywood Presbyterian Medical Center (“HPMC”). Patient care has not been compromised in any way. Further, we have no evidence at this time that any patient or employee information was subject to unauthorized access. (…)

The quickest and most efficient way to restore our systems and administrative functions was to pay the ransom. In the best interest of restoring normal operations, we did this.»

Autrement dit, l’hôpital a vu ses opérations normales perturbées durant plusieurs jours, mais il n’y a eu aucun problème majeur de fonctionnement. Une question me taraude : si tout allait si bien, pourquoi payer la rançon ?

Mais délaissons l’opacité des relations publiques de l’hôpital pour nous concentrer sur l’erreur qu’a commise la direction de l’établissement en cédant aux exigences de cybercriminels.

Certes, il est facile de critiquer cette décision quand on est assis derrière un écran à 4.000 km de distance… Toutefois, j’estime que l’état de la sécurité de l’information du Presbyterian s’est, de ce fait, aggravé.

Aujourd’hui, un rançongiciel est plus qu’un simple… rançongiciel

Le rançongiciel existe depuis plus d’une dizaine d’années. Après le ransomware qui gèle les accès au poste informatique, on a vu plus récemment apparaître le rançongiciel qui crypte les fichiers informatiques. Outre ce changement de nature, deux aspects importants nous semblent devoir être soulignés.

Tout d’abord, de nos jours, les rançongiciels se trouvent pour ainsi dire sous le pas d’un cheval. Pire, au cours des deux dernières années, on a assisté à une multiplication des modèles de ransomware.

(c) Bromium – Cliquez sur l’image pour accéder au rapport « Endpoint Exploitation Trends 2015 »

On parle même aujourd’hui de RaaS (Ransomware as a Service) pour désigner des logiciels prêts à l’emploi, mis à la disposition de qui veut se lancer dans la criminalité informatique. Certains programmeurs malintentionnés proposent ainsi aux apprentis cybercriminels, et leur logiciel, et l’infrastructure de l’attaque ; mais ils se réservent en contrepartie une lourde commission sur la rançon versée.

Et comme si le tableau n’était pas encore assez noir, on estime que le rançongiciel constitue aujourd’hui l’une des armes informatiques les plus efficaces. Les systèmes de chiffrement mis en place sont tout simplement redoutables. Le FBI lui-même a reconnu récemment, par la bouche d’un de ses hauts fonctionnaires :

guillemetFBI-LogoThe ransomware is that good. To be honest, we often advise people just to pay the ransom.

Des logiciels qui prennent en otage les fichiers critiques des organisations victimes

Un rançongiciel a d’autant plus de chances de parvenir à ses fins (le versement d’une rançon) que les informations qu’il prend en otage sont critiques pour l’organisation ciblée. Pour un exemple caractéristique, lisez ce qui est arrivé à cette firme d’avocats de Floride.

Ainsi, dès lors que l’organisation victime n’aura pas effectué de fréquentes copies de sauvegarde de ses fichiers, elle se retrouvera sous la menace de perdre des documents essentiels, qui représentent des jours voire des semaines de travail. C’est alors bien souvent, pour l’organisation ciblée, une question de vie ou de mort. Dans ce cas, payer une rançon constitue une solution envisageable. C’est précisément dans ce genre d’hypothèses que le FBI recommande aux victimes de céder aux exigences des cybercriminels.

Le Hollywood Presbyterian Medical Center se trouvait-il dans cette périlleuse situation ? Selon moi, non. Et c’est bien là le problème.

Des copies de sauvegarde régulières ?

Trop rares ont été les commentateurs de cette affaire qui ont soulevé la question – pourtant centrale – des copies de sauvegarde des fichiers de l’hôpital. La direction de l’établissement n’a rien précisé à ce sujet. Comme on l’a vu précédemment, cela peut être légitimement interprété comme une volonté, de la part de la direction, d’éluder la question qui fâche : le Presbyterian effectue-t-il des copies de sauvegarde régulières de tous les fichiers sur ces systèmes informatiques ?

J’ai pour ma part la faiblesse de penser qu’il ne peut pas en aller autrement : on parle ici d’un hôpital de 434 lits, dans un quartier relativement aisé de Los Angeles, Californie, États-Unis d’Amérique, en 2016…

Si l’on se réfère, comme on dit, aux standards de l’industrie, ces copies de sauvegarde sont effectuées quotidiennement et conservées hors connexion (souvent même hors site), ce qui empêche totalement ces fichiers d’être infectés par le rançongiciel.

Autrement dit, étant donné que le programme malveillant a frappé en fin de journée, l’hôpital californien a au pire perdu les nouvelles informations d’une journée de travail. C’est embêtant, certes ! Mais ce n’est pas gravissime.

Notons à ce sujet que la perte de données essentielles n’a jamais été évoquée par les responsables de l’hôpital, alors qu’elle aurait été de nature à expliquer pourquoi la direction de l’établissement a choisi de payer la rançon.

On rétorquera que ce sont aussi les opérations de l’hôpital qui étaient perturbées. Ça aussi, c’est agaçant, je vous l’accorde ! Mais ce n’est pas la mer à boire. D’ailleurs, durant toute la durée de l’incident, la direction du Presbyterian n’avait jamais cessé de dire que les opérations étaient certes ralenties mais, somme toute, peu affectées. À aucun moment la qualité des soins n’avait été remise en question. Le plus gênant était de revenir au papier et au crayon.

Doctor-writing

Agaçant, mais tenable durant quelques semaines, le temps de remettre le système en état, sans céder aux cybercriminels.

Pourtant, la direction du Presbyterian a préféré payer ce qu’on pourrait appeler une « rançon de confort », encourageant ainsi les malfaiteurs à utiliser le ransomware à de nouvelles fins.

Une arme de cyberperturbation

Jusqu’ici, un rançongiciel servait à prendre en otage les fichiers critiques de l’entreprise. Avec des décisions comme celles de la direction du Presbyterian, le ransomware devient un outil à plus large spectre : une arme de cyberperturbation.

Peu importe que le logiciel bloque l’accès à des fichiers essentiels. Il suffit qu’il perturbe les opérations d’une organisation peu habituée aux situations conflictuelles, prompte à faire profil bas et à allonger la monnaie.

À l’avenir, nul doute que le rançongiciel sera largement employé par certains États ou des entreprises peu scrupuleuses, non pas pour obtenir une quelconque rançon mais pour perturber les opérations d’un concurrent.

On pourrait simplement le déplorer et passer à autre chose. Malheureusement, les cybercriminels ne vont pas en rester là.

De l’attaque aléatoire à l’attaque ciblée

Interrogé par Fox11, un spécialiste des enquêtes informatiques déclarait ne pas comprendre pourquoi les criminels s’en sont pris à un hôpital, ni pourquoi la rançon (initiale) était, dans ce cas, aussi élevée. Même incompréhension sur ce point de la part de Wired.com.

On peut tenter l’explication suivante : le ransomware ne savait pas qu’il attaquait un hôpital. Il a été lâché via une importante campagne de hameçonnage : les cybercriminels ont avancé à l’aveugle. Par défaut, le logiciel fixait une rançon très élevée, en espérant piéger une grosse compagnie aux reins solides – et éventuellement baisser un peu la facture en cas de négociations. [Je partage ici le point de vue de Carl Wright, de TrapX Security.]

Mais comment expliquer que l’on soit passé des 3,4 M$ réclamés à l’origine aux 17.000 $ finalement payés ? Parce qu’entre-temps, l’affaire a été extrêmement médiatisée ; et les cybercriminels auraient vite compris qu’un hôpital ne pourrait jamais payer une rançon à 7 chiffres. Ils auraient alors divisé la note par 200 ! Mais il faut souligner que 17.000 $ constitue un montant nettement plus élevé que la plupart des montants exigés par les ransomwares. En effet, les pirates savent pertinemment qu’un grand hôpital n’est pas non plus une TPE (très petite entreprise).

En payant néanmoins la rançon, la direction du Presbyterian a envoyé  aux pirates informatiques deux messages clairs :

1. Cet hôpital est vulnérable

Parmi les milliers de courriels de hameçonnage qu’ils ont lancés, les criminels ne savent pas au départ où l’attaque va réussir. Quand l’un de ces messages électroniques est ouvert et que le rançongiciel se répand dans les systèmes informatiques de la cible, le coup de bluff commence.

bluffingPour la direction de l’hôpital, accepter de payer la rançon et faire ainsi preuve de non-résilience, cela revient à baisser les yeux et à se gratter frénétiquement la tempe : le joueur adverse a compris qu’il peut faire tapis et rafler la mise. Et les cybercriminels ne vont pas se priver.

L’an dernier, le fournisseur de courriels chiffrés ProtonMail, basé en Suisse, a essuyé une cyberattaque massive (un déni de service) qui a complètement paralysé son activité. Petite compagnie montée par des scientifiques du CERN, ProtonMail n’avait pas les reins assez solides pour combattre l’attaque. Elle a donc choisi de payer la rançon ; et les cybercriminels ont mis fin à leur agression. Mais ProtonMail admettait ainsi publiquement sa faiblesse. Le retour de manivelle ne s’est pas fait attendre : dans les heures qui ont suivi le versement de la rançon, ProtonMail essuyait une seconde attaque encore plus massive. D’aucuns y ont vu la patte de services étatiques (cof-cof-NSA-cof), désireux de frapper une compagnie refusant le diktat de l’Oncle Sam sur l’accès généralisé aux courriels (hypothèse séduisante, mais qui reste à démontrer). ProtonMail a depuis juré qu’elle ne paierait plus jamais de rançon.

icone-reticule-RMLe risque d’une nouvelle attaque du Presbyterian est désormais plus élevé : les cybercriminels ne vont plus attaquer au hasard. Ils vont se livrer à une attaque ciblée, plus élaborée – donc nettement plus difficile à contrer – et susceptible de rapporter encore plus gros.

Jusqu’à quel montant la direction de l’hôpital est-elle prête à lâcher prise ? 25.000 $ ? 50.000 $  ? 200.000 $ ? Les prochains pirates intéressés auront tôt fait de le découvrir.

2. Le secteur hospitalier est vulnérable

Les cybercriminels vont également pouvoir cibler en priorité des établissements hospitaliers puisque, apparemment, les directeurs d’hôpital sont plus préoccupés par la reprise des activités normales dans l’immédiat que par leur fonctionnement à moyen ou long terme.

Frappé de plein fouet par les mesures d’austérité budgétaire, le secteur de la santé n’est pas au mieux ces derniers temps. Ni aux États-Unis, ni au Canada, ni en Europe. Les hôpitaux ont encore moins les moyens de se doter des outils technologiques et surtout humains pour résister à ce type de cyberattaques.

Quelques hôpitaux à travers le monde ont d’ores et déjà été frappés par des rançongiciels [ 12 (trad. ang.)]. Mais l’affaire hautement médiatisée du Presbyterian et sa regrettable conclusion auront tôt fait de désigner aux cybercriminels un secteur de choix pour leur prochaine campagne de rançonnage.

À propos de Arnaud Palisson

Arnaud Palisson, Ph.D. fut pendant plus de 10 ans officier de police et analyste du renseignement au Ministère de l'intérieur, à Paris (France). Installé à Montréal (Canada) depuis 2005, il y a travaillé dans le renseignement policier puis en sureté de l'aviation civile. Il se spécialise aujourd'hui dans la sécurité de l'information et la protection des renseignements personnels.

2 réponses sur “Hôpital, rançongiciel et cyberperturbation”

  1. Petite précision quant à l’opacité des relations publiques de l’hôpital dans cette affaire.

    Selon plusieurs médias, citant le communiqué officiel de l’hôpital, les premières informations relayant le montant de la rançon étaient erronées : il n’aurait jamais été question d’une rançon de 3,4 millions de $. Toutefois, ce n’est pas exactement ce qu’a écrit le PDG de l’hôpital :

    « The reports of the hospital paying 9000 Bitcoins or $3.4 million are false. The amount of ransom requested was 40 Bitcoins, equivalent to approximately $17,000.»

    Les rapports erronés étaient donc ceux qui relataient que l’hôpital avait payé 3,4 M$. Mais la phrase du communiqué n’en demeure pas moins étonnante car :

      1) ce chiffre a été relayé par toute la presse pendant dix jours, sans la moindre infirmation officielle, ni de l’hôpital , ni de la police ;
      2) à ma connaissance, aucun média n’a prétendu que l’hôpital avait versé cette somme aux cybercriminels. Le communiqué du PDG s’en tient à mentionner que la rançon était de 17.000 $. Pour autant, il n’infirme pas que le tribut initialement demandé ait été de 3,4 M$.

Les commentaires sont fermés.