300 mille fichiers de patients dérobés lors de la cyberattaque du Centre Hospitalier d'Armentières

Les soupçons se sont longtemps tournés vers le groupe de pirates informatiques LockBit. Mais c'est finalement Blackout qui serait à l'origine de la cyberattaque du Centre Hospitalier d'Armentières, d'après Damien Bancal, expert en cybersécurité. L'établissement précise dans un communiqué que 300 mille fichiers ont été dérobés.

Le 11 février 2024, le Centre Hospitalier d'Armentières a été la cible d'un piratage informatique, obligeant les urgences à fermer. "Nos imprimantes ont imprimé toutes seules des messages de menace disant que nos données étaient cryptées et qu'il fallait se rendre sur un site internet", indiquait le directeur du centre hospitalier Samy Bayod au moment des faits. Sur ces documents, le nom de LockBit apparaît.

Dès lors, les soupçons se sont tournés vers LockBit, ce groupe de pirates informatiques, démantelé il y a peu. Pourtant, Damien Bancal, expert en cybercriminalité, n'a jamais cru à cette thèse. Finalement, c'est Blackout, un autre groupe de hackers qui revendique l'attaque. Le groupe l'a "annoncé sur son blog officiel" ajoute l'expert.

"Dans sa tête, c'était une clinique privée"

"Je suis persuadé que le pirate ne sait pas qui il a attaqué" explique Damien Bancal, alors qu'il cherche à comprendre pourquoi le groupe de hacker s'en est pris au Centre Hospitalier d'Armentières. Comme le pirate souhaitait une rançon, il pense que "dans sa tête c'était une clinique privée."

► Lire aussi : Le patron de LockBit affirme qu'il n'est "pas responsable du hacking" de l'hôpital d'Armentières, selon un spécialiste en cybercriminalité

Pour ce qui est de l'apparition du mot "LockBit" dans les documents sortis des imprimantes de l'hôpital, "Blackout m'a confirmé utiliser le logiciel LockBit, mais sans jamais signer LockBit" poursuit l'expert. Car si derrière LockBit se cache un réseau de hackers, il s'agit également d'un logiciel connu pour ses capacités à crypter les fichiers de systèmes infiltrés par des pirates informatiques, rendant leur accès impossible pour les utilisateurs.

Qui est Blackout ?

S'il n'est pas encore possible de savoir d'où viennent les pirates de Blackout, Damien Bancal a quand même pu s'entretenir avec le groupe sur le dark web. Blackout se définit comme "un groupe de personnes traitant avec des rançongiciels" peut-on lire sur le blog de l'expert.

Face au faible profit que les hackers ont pu tirer de cette opération, ils ont décidé de rendre toutes les informations piratées publiques. Ce qui explique la récente fuite de donnée du Centre Hospitalier Armentiérois. "J'ai essayé de les convaincre de ne pas les diffuser, témoigne Damien Bancal, mais on à affaire à des opportunistes, c'est l'occasion qui fait le larron."

On à affaire à des opportunistes, c'est l'occasion qui fait le larron

Damien Bancal

Expert en cybercriminalité

La fuite concernerait une base de données de plus de "900 000 patients avec leurs adresses, leurs numéros de téléphone, leurs antécédents médicaux…" relate Damien Bancal sur son blog. Mais comment savoir si Blackout dit vrai ? Pour l'expert en cybercriminalité cela ne fait aucun doute, d'après le "clone des informations qui ont été exfiltrées".

Dans un communiqué publié ce mercredi 28 février, la direction de l'hôpital fait état de 300 mille fichiers dérobés. 

Au regard de la sensibilité de ces données, il serait cependant "interdit par la loi de consulter les données, sans autorisation."