Cyberattaque de l’hôpital de Corbeil-Essonnes : « Lockbit contribue à attaquer les secteurs sensibles »

Le 22 août dernier, le centre Hospitalier Sud-Francilien de Corbeil-Essonnes déclenchait son plan blanc à la suite d’une cyberattaque bloquant l’accès de l’établissement à son réseau informatique. À la suite de l’attaque, une demande de 10 millions de dollars avait été exigée par les hackers. C’est le groupe Lockbit qui, ce lundi 12 septembre, a revendiqué l’attaque du Centre Hospitalier Sud-Francilien (CHSF). Pour mémoire, le groupe de hackers est également à l’origine de la cyberattaque de la Poste mobile du 4 juillet dernier. Le 7 septembre, par le biais d’un communiqué de presse, le gouvernement a validé le principe d’indemnisation des rançons payées en cas de cyberattaques. Ce principe d’indemnisation sera néanmoins conditionné à un dépôt de plainte dans les 48 heures. Pour rappel, le Sénat s’était opposé à ce principe, préconisant même l’interdiction de l’assurabilité des rançons au niveau européen. Interrogé par Public Sénat, Marc Rivero, spécialiste des questions de cybersécurité et spécialiste en sécurité senior chez Kaspersky répond à nos questions sur ces cyberattaques. Si le spécialiste rappelle que « les hôpitaux ne sont pas inclus dans les cibles autorisées pour des attaques », il précise néanmoins que les cyberattaques sont de plus en ciblées. Il relève également que de manière générale le groupe de cybercriminels « Lockbit contribue à attaquer les secteurs sensibles et importants de notre société ».

Que s’est-il passé à l’hôpital Corbeil-Essonnes fin août ? Qu’est-ce qu’une cyberattaque ?

« De ce que l’on a pu lire dans la presse et sur les différents rapports, l’hôpital a été attaqué par un groupe cybercriminel de rançongiciel appelé Lockbit. Habituellement, Lockbit contribue à attaquer les secteurs sensibles et importants de notre société. Ces derniers temps, le groupe a beaucoup grandi, ciblant de nombreuses entreprises à travers le monde.

Un rançongiciel est un type de logiciel malveillant qui chiffre les données d’un système d’information et les rend inaccessibles à son propriétaire. Les rançongiciels sont des logiciels d’extorsion qui peuvent verrouiller votre ordinateur et demander une rançon en échange du déverrouillage de celui-ci. Dans la plupart des cas, l’infection par rançongiciels se présente comme ceci : L’application malveillante commence par accéder à l’appareil. Selon le type de ransomware, c’est l’ensemble du système d’exploitation ou des fichiers individuels qui sont chiffrés. Une rançon est alors demandée aux victimes en question.

En matière de cyberattaques, de manière générale, ce qu’on peut en dire c’est qu’il s’agit d’une utilisation de l’outil cyber, des ressources numériques, pour nuire à une entreprise. Elles peuvent prendre différentes formes : du sabotage, du chiffrement de données, de l’exfiltration de documents ou de données, de la destruction pure et simple, de l’espionnage… Le nombre de cyberattaques en tant que telles n’a pas spécialement augmenté à travers le monde. En revanche le nombre d’attaques ciblées, lui, a bondi. Les cybercriminels s’en prenant de plus en plus aux entreprises. Également, le nombre d’échantillons malveillants ne cesse de croître. En 2021, les équipes de recherche de Kaspersky ont détecté plus de 380 000 nouveaux échantillons malveillants par jour, contre 360 000/ jour en 2020 ».

Pouvez-vous revenir sur ce schéma criminel ? Les cyberattaques sont-elles ciblées ? L’attaque de Corbeil-Essonnes en est-elle l’archétype ?

« Les cyberattaques sont de plus en ciblées oui, mais parfois il arrive que la victime finale ne soit pas celles ciblées par le groupe criminel. En effet, chaque groupe de programme malveillant aujourd’hui travaille avec différents affiliés qui vont s’occuper d’infecter les victimes, selon leurs propres considérations (ou via l’exploitation d’une faille de sécurité, de manière opportuniste). Certains secteurs critiques sont particulièrement lucratifs pour les cybercriminels.

Souvent, les hôpitaux ne sont pas inclus dans les cibles autorisées pour des attaques, afin que le groupe évite les possibles pressions sociales. En revanche, dans le cas présent, il est possible qu’un affilié n’ayant pas la même exposition ait pris la décision d’infecter l’hôpital malgré les recommandations du commanditaire. »

Selon votre groupe, il est en général, difficile de connaître l’identité et les têtes pensantes des gangs cybercriminels, et c’est d’ailleurs pourquoi le travail des forces de l’ordre est si compliqué dans l’arrestation des cybercriminels. Qui est le groupe Lockbit ?

« La réelle identité des administrateurs de Lockbit est toujours inconnue. Récemment, le groupe Lockbit a ouvert un programme de Bug Bounty (chasse aux vulnérabilités) dans lequel ils offrent 1 million de dollars américains pour toute information qui pourrait aider les forces de l’ordre à les capturer.

Ce que l’on peut toutefois dire, c’est qu’aujourd’hui comme la plupart des gangs cybercriminels, le groupe Lockbit est organisé comme des entreprises avec des prestataires de services tiers. Les auteurs de Lockbit travaillent avec des affiliés qui se chargent d’infecter les victimes. Comme expliqué dans l’un de nos rapports le principe du « ransomware as a service » (« rançongiciel comme un service ») c’est que les groupes de rançongiciel ne délivrent pas eux-mêmes les logiciels malveillants mais fournissent les services de chiffrement de données. L’organisation est simple. Ils embauchent des affiliés qui vont infecter autant d’entreprises que possible et en échange, ils vont partager le montant de la rançon payée par l’entreprise ciblée. Le partage est habituellement réalisé selon les conditions suivantes : 70 % pour l’affilié et 30 % pour l’administrateur de Lockbit. Ces conditions peuvent changer en fonction de l’importance de l’affilié et le nombre de victimes ou de paiements réalisés. On ne connaît pas le nombre exact de victimes de lockbit puisque seule une partie d’entre elles est ouvertement annoncée comme victime. Cependant, il s’agit d’un des groupes de ransomwares les plus actifs et connus aujourd’hui ».

Le groupe Kapersky précise que Lockbit est aujourd’hui l’un des groupes de rançongiciels les plus prolifiques du marché le « numéro 1 du rançongiciel » : « Dans un article de l’Usine Digitale, un journaliste parlait de 52 victimes rien qu’en juillet 2022. Les attaques utilisant Lockbit ont commencé en septembre 2019, alors qu’il était surnommé le « virus. abcd ». Ce surnom faisait référence au nom de l’extension de fichier utilisée lors du chiffrement des fichiers d’une victime. Les États-Unis, la Chine, l’Inde, l’Indonésie et l’Ukraine ont été déjà visés par le passé par ce genre d’attaques. Il en est de même pour plusieurs pays d’Europe (France, Royaume-Uni, Allemagne). Les cibles viables disposent de fonds suffisants et seront suffisamment freinées par les perturbations pour payer une somme importante. Par conséquent, ceci peut entraîner des attaques tentaculaires à l’encontre de grandes entreprises, dans les secteurs de la santé comme des institutions financières. Son processus d’analyse automatisé semble éviter intentionnellement les systèmes localisés en Russie ou dans tout autre pays de la Communauté des États indépendants. On suppose que l’objectif consiste à éviter les poursuites dans ces régions. »

Comment prévenir, comment guérir : quels remèdes contre les cyberattaques d’après vous ? Un rapport du Sénat préconisait en 2021 de ne pas payer les rançons, quel est votre avis sur le sujet ?

« De manière générale, par un programme de cybersécurité robuste et bien établi qui permettra d’accroître la maturité cyber de l’entreprise ou de l’organisme, face aux attaques. Les scans de vulnérabilité, des programmes de résilience sont de bonnes stratégies à suivre. Également par la formation des équipes internes aux risques cyber et par l’intégration de la notion de cybersécurité au sein de la gouvernance de l’entreprise ou de l’organisme. Ces méthodes sont également importantes, car un vecteur d’infection peut être un simple courriel d’hameçonnage (phishing en anglais). Avoir une bonne stratégie de cybersécurité en anticipation des menaces et intégrer la gouvernance cyber au sein de la stratégie de l’entreprise ou de l’organisme est une bonne approche.

Il est malheureusement difficile de réagir à postériori à une attaque c’est pourquoi il est nécessaire de ne pas minimiser le risque et de s’équiper tant en technologies qu’en bonnes pratiques.

Par ailleurs, on ne peut pas recommander le paiement des rançons dans la mesure où cela incite les groupes criminels à poursuivre leurs activités. Cependant, nous avons conscience que parfois les entreprises, notamment de petite et moyenne taille peuvent se retrouver dans des situations très complexes en cas d’attaque et peuvent légitimement se poser la question du paiement de la rançon. »

Pour vous, quel est le futur de la cybersécurité ? Vers quels outils s’orienter ? Quelles méthodes ?

« Nous vivons dans un monde complexe avec des attaques en perpétuelle évolution et des entreprises qui adoptent très rapidement de nouvelles technologies. Il faut impérativement rester à jour en ce qui concerne tout ce qui peut se dérouler sur le secteur et opérer des veilles. Également, la coopération internationale entre les différents acteurs permettra une meilleure résilience cyber et œuvrera à la construction d’un monde plus sûr. Néanmoins, les groupes cybercriminels et les différents acteurs de la cybermenace disposent également de moyens de plus en plus évolués et importants. Les mouvements de cybercriminalité et les risques qui en résultent tendent à se poursuivre. Il est donc primordial que les entreprises, organisations et même individus adoptent des stratégies et outils de cyber sécurité pour plus d’anticipation face au risque des cyberattaques. »