Cyberattaque d’un hôpital en Essonne : cinq questions sur les données de santé divulguées

La menace a été mise à exécution. Les hackers qui avaient bloqué le réseau informatique de l’hôpital de Corbeil-Essonnes (Essonne) en août ont mis en ligne, dimanche 25 septembre, des données de santé volées. Le centre hospitalier sud-francilien (CHSF), qui assure la couverture sanitaire de près de 700 000 habitants, a confirmé la publication d’informations qui « semblent concerner nos usagers, notre personnel ainsi que nos partenaires ». Franceinfo revient sur ce piratage massif et les craintes qu’il suscite.

1Que s’est-il passé ?

En août, au moment de la cyberattaque, les hackers avaient réclamé à l’hôpital une rançon de 10 millions d’euros et fixé un ultimatum au 23 septembre. Cette rançon a été ramenée à un ou deux millions d’euros, selon les sources. L’établissement n’a pas payé la rançon. « La posture de l’Etat est claire là-dessus en ce qui concerne les hôpitaux. C’est clairement de ne pas payer la rançon« , résume Gérome Billois, expert en cybersécurité pour le cabinet Wavestone.

C’est le blog de cybersécurité Zataz.com, qui a donné l’alerte, affirmant qu’une « première diffusion a[vait] été orchestrée sous la forme d’un fichier compacté de 11,7 gigaoctets ». « L’attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l’espace de stockage du CHSF (environ 10%) », ajoute-t-il.

2Quelles sont les données dévoilées ?

Selon les informations fournies dimanche par l’hôpital, les informations divulguées par les pirates « semblent concerner nos usagers, notre personnel ainsi que nos partenaires ». Parmi elles figurent « certaines données administratives », dont le numéro de sécurité sociale, et « certaines données de santé telles que des comptes rendus d’examen et en particulier des dossiers externes d’anatomocytopathologie, de radiologie, laboratoires d’analyse, médecins », a poursuivi le centre hospitalier.

Selon Damien Bancal, rédacteur du site spécialisé Zataz.com, qui a pu consulter le fichier, celui-ci contient des documents aussi variés que des examens médicaux, des recours à la couverture médicale universelle (CMU), et une autorisation d’internement d’office en service psychiatrique.

« Seuls les initiés peuvent accéder aux données. »

Damien Bancal, rédacteur du site spécialisé Zataz.com

à l’AFP

« Sur dix ans, ce sont des données qui concernent près d’1,5 million de personnes qui ont pu être patients à l’hôpital et puis des milliers d’agents. C’est considérable », souligne sur franceinfo le maire de Corbeil-Essonnes, Bruno Piriou, membre du conseil de surveillance du CHSF.

3Qui sont les responsables ?

Ceux qui ont divulgué ces données sont les auteurs de la cyberattaque, soit le groupe de hackers russophones Lockbit 3.0. Ce groupe est actif dans le monde entier (Etats-Unis, Chine, Inde, Indonésie, Ukraine, France, Royaume-Uni, Allemagne…). « On les connaît, parce qu’ils communiquent énormément, parce qu’ils sont joignables facilement. On peut converser avec eux. C’est ça qui est complètement fou. Ils ont mis en place des services après-vente. Maintenant, savoir où ils se trouvent… S’ils sont au fin fond de la Russie, cela va être très compliqué », assure à franceinfo Damien Bancal.

« Ils sont capables de tout parce qu’ils savent qu’il y a de l’argent. »

Damien Bancal, rédacteur du site spécialisé Zataz.com

à franceinfo

« On a des pirates qui n’ont même pas peur de téléphoner à leurs victimes ou carrément téléphoner aux partenaires commerciaux des victimes qu’ils ont infiltrées », avance-t-il. Selon lui, sur 170 entreprises dans le monde piratées ces derniers jours, 42 ont déjà payé la rançon exigée par ce groupe de hackers.

4Quels sont les risques ?

Les autorités craignant désormais de nouvelles attaques ciblées. Ils ont inventé « le marketing de la malveillance », illustre Damien Bancal. « Ils se disent : ‘On bloque tout et on va nous payer le déblocage’. Sauf qu’ils ont ajouté des lames malveillantes à leur couteau suisse », décrit-il. En effet, si l’entreprise ne paie pas le déblocage de ses systèmes, elle va peut-être payer pour éviter que les pirates diffusent les informations. « Et si jamais l’entreprise ne paye pas cette seconde rançon réclamée, ils toucheront de l’argent, soit en diffusant gratuitement comme un échantillon et donc du coup ça fera peur à d’autres entreprises, soit carrément, ils vont redistribuer à d’autres pirates collègues et partenaires, dont la mission principale, c’est de toucher de l’argent », poursuit-il.

Dans son communiqué de presse, l’hôpital de Corbeil-Essonnes a rappelé les principales mesures de sécurité à suivre. En cas de réception d’un email, SMS, ou appel téléphonique demandant telle ou telle action, il faut « vérifier que l’expéditeur est bien légitime et en lien avec le sujet » et « ne jamais fournir d’informations confidentielles (bancaires, mots de passe…) ». Il faut « être vigilant si le ton du message est pressant, qu’il vous pousse à l’action, d’autant plus si vous n’attendiez pas ce message », a également prévenu l’hôpital. Celui-ci recommande aussi de « vérifier les comptes associés » à un numéro de Sécurité sociale et d’en changer les mots de passe « au moindre doute ».

5Comment réagissent les autorités ?

Dans la foulée, le ministre de la Santé, François Braun, a condamné « la divulgation inqualifiable de données piratées ». « Nous ne céderons pas face à ces criminels. L’ensemble des services de l’Etat sont mobilisés » au côté de l’hôpital, a-t-il ajouté.

Je condamne avec la plus grande fermeté la divulgation inqualifiable de données piratées issues du @CHSF91. Nous ne céderons pas face à ces criminels. L’ensemble des services de l’État sont mobilisés aux côtés du Centre hospitalier Sud Francilien de Corbeil-Essonnes.

— François Braun (@FrcsBraun) September 25, 2022

Une enquête a été ouverte par le parquet de Paris et confiée aux gendarmes du Centre de lutte contre les criminalités numériques (C3N). Bruno Piriou, le maire de Corbeil-Essonnes, a appelé à la solidarité et à la prudence. Il rappelle que tout le monde est « tombé d’accord, que ce soit au sommet de l’Etat ou les élus locaux », pour ne pas céder au chantage. « Cela peut nous dépasser. Il faut que l’on soit tous d’accord dans notre République, que cela fasse jurisprudence, prévient-il, si on se met à donner des millions d’euros à des criminels pour qu’ils ne divulguent pas des données, c’est la porte ouverte à ce que cela se reproduise tout le temps. »

Le CHSF va par ailleurs se mettre à la « disposition » des patients et agents concernés pour « porter plainte contre les criminels », a annoncé Bruno Piriou sur franceinfo.

Continuer à lire sur le site France Info