Cybercriminalité: Les hôpitaux font face au coronavirus… et aux pirates informatiques

"Seriez-vous intéressés par notre promotion sur les derniers masques de protection ?" Alors que nous sommes en pleine crise à cause du coronavirus, de plus en plus de mails de propositions de masques ou autre produits viennent inonder les boîtes mails. Tous ne sont pas malveillants, certes, mais une partie d’entre eux l’est. Car même en temps de pandémie, des pirates informatiques essaient de pénétrer les systèmes informatiques afin d’en tirer un intérêt. Cela passe aussi par des mails infectés, qui contiennent par exemple un virus informatique. D’ailleurs, le secteur de la santé a toujours fait partie des proies potentielles de ces pirates.

Des attaques ciblées

En novembre dernier, en France, l’hôpital de Rouen a été victime d’un "ransomware", ou "rançongiciel". Un programme qui a pour but de crypter ou bloquer l’utilisation d’un système par son utilisateur jusqu’au versement d’une rançon.

Plus récemment, le 15 mars, en pleine crise du coronavirus donc, c’est le département américain de la Santé qui a subi des attaques par déni de service (ou DDoS, Distributed Denial of Service attack), c’est-à-dire des attaques qui visent à surcharger le réseau pour le ralentir, voire le faire sauter.

La semaine dernière, ce sont les hôpitaux de Paris, déjà très sollicités, qui subissaient une attaque similaire. L’AP-HP (Assistance publique-Hôpitaux de Paris), qui gère 39 établissements publics en Île-de France, a dû faire face à une attaque qui a duré une heure et l’a poussé à réduire sa connexion à Internet afin de gérer la situation et limiter l’impact au maximum.

Philippe Tourron, coordinateur du projet Safecare, apporte une vision d’ensemble : "Les attaques n’augmentent pas de manière drastique pour le moment, mais on constate des offensives ciblées sur des systèmes de santé dans plusieurs pays européens. Comme pour le Covid-19, on essaie de se préparer à une vague. Même si un certain nombre de hackers ont plus ou moins envisagé une trêve des attaques, on se doute bien que ce sera loin d’être respecté par les criminels qui agissent de manière permanente. On voit bien qu’il y a des données qui peuvent être sources d’intérêt. Comme les endroits où sont stockés les masques, les produits, les médicaments."

Le projet Safecare est financé en grande partie par la Commission européenne afin d’améliorer la coordination et la communication entre les établissements hospitaliers, les industriels et les chercheurs et prémunir des attaques. La KULeuven y participe d’ailleurs pour tout ce qui est juridique, et pour coordonner la protection des données au niveau européen.

Sur le site internet du projet, on peut retrouver une liste d'attaques, cyber comme physiques, dont ont été victimes les différents établissements dans le monde depuis le mois de février. "C’est évident qu’au-delà du fait que la Santé est déjà un périmètre d’intérêt pour la cybercriminalité, ces informations complémentaires ont aujourd’hui une valeur qui monte en flèche", précise Philippe Tourron.

Crise, précipitation, malversations

En pleine crise du coronavirus, le télétravail, la volonté de partage des informations entre établissements, le cloud et l’open data - qui vise à partager certaines données avec le plus grand nombre afin de trouver des solutions plus rapidement - font que, dans la précipitation, on en oublie parfois l’aspect sécuritaire. Ce qui peut poser problème pour l’après-crise également. Car si les hackers peuvent s’en prendre aux hôpitaux pendant celle-ci, ils peuvent aussi en profiter pour récolter des renseignements qui pourront être utiles par la suite. Philippe Tourron souligne également que les offensives sont souvent polymorphes et de plus en plus complexes. Les attaques par déni de service pour surcharger le réseau peuvent être une première étape dans un ensemble d’attaques par exemple, afin d’empêcher la victime de réagir ou encore pour détourner son attention. C’est aussi une façon de sonder les capacités de réaction de celle-ci.

Des équipements de plus en plus interconnectés

Les hôpitaux ont-ils déjà cédé au chantage des ransomware ? "À ma connaissance, il n’y a pas eu de règlement de rançon à la suite d’une attaque comme cela. Après, tout n’est pas publié et si ça se passe, ça ne le sera certainement pas. Mais je pense que c’est aussi une manière de limiter les opportunités d’attaques de ne pas tomber dans ce travers. Il faut éviter d’entrer dans ce schéma et en devenir esclave. Il faut durcir la protection et rendre l’attaque moins grave le cas échéant. C’est la seule posture qui peut être payante", avertit Philippe Tourron. Outre l’aspect technologique et de préparation en amont, il y a aussi l’aspect personnel, et donc de sensibilisation des travailleurs. "Il y a beaucoup de rançongiciels qui circulent par messagerie. Ça reste le vecteur maximal d’attaque. C’est pour ça que les postures réflexes des utilisateurs sont importantes, car les outils ne font pas tout malheureusement", prévient le coordinateur du projet Safecare.

Les établissements hospitaliers, acteurs majeurs face au coronavirus, sont donc en première ligne aussi face aux attaques cyber et physiques, parfois les deux coordonnées en même temps. D’autant plus que les hôpitaux, ce sont à la fois les infrastructures, les systèmes d’information internes mais aussi tout l’équipement biomédical, de plus en plus interconnecté. Donc potentiellement une source d’attaques que les établissements, et les États de manière globale, doivent prendre en compte en amont des crises.