Cyberattaque à l'hôpital de Cannes : trois questions à un expert en cybercriminalité pour comprendre la fuite de données confidentielles

Le groupe de hackers Lockbit3.0. a mis à exécution ses menaces si une rançon ne lui était pas versée avant les 12 coups de minuit du 30 avril. Ce sont donc 61 gigaoctets de données confidentielles qui ont été diffusées, en clair, dans la nuit du 1ᵉʳ au 2 mai. Pierre Penalba, expert en cybercriminalité et commandant honoraire du service de lutte contre la cybercriminalité à la PJ de Nice, décrypte, pour la rédaction de France 3 Côte d'Azur, les tenants et les aboutissants de cet acte criminel.

C'était le 16 avril dernier. Le centre hospitalier de Cannes faisait savoir, par un communiqué de presse, qu'il avait été l’objet d’une cyberattaque visant son système d’information par le groupe de hackers Lockbit3.0. Un événement qui avait engendré la déprogrammation d'un tiers de l'activité opératoire.

Lockbit3.0. est le groupe de hackers le plus dangereux du monde et c'est par ce message, provenant de son site de revendication officiel, sur le darknet, que les hackers ont fait connaître leur méfait.

Deux semaines plus tard, Yves Servant, le directeur de l'hôpital de Cannes faisait savoir qu'une rançon a été revendiquée par ce même groupe.

Ce jour, l’établissement a pris connaissance d’une demande de rançon du groupe de hackers Lockbit 3.0. Cette revendication a été transmise à la Gendarmerie et le CHC-SV a prévenu l’Agence nationale de la sécurité des systèmes d’information (ANSSI) de la situation. Les établissements publics de santé ne paient jamais de rançon face à ce type d’attaque.

La direction du CH de Cannes dans un communiqué.

Diffusion des dizaines de gigaoctets de données confidentielles

Cette nuit même, dans la nuit du 1ᵉʳ au 2 mai, Lockbit3.0. a mis à exécution ses menaces puisqu'aucune rançon ne lui a été versée. Ce sont donc 61 gigaoctets de données confidentielles qui ont été mises à disposition sur un des sites du darknet.

En langage plus compréhensible, selon Pierre Penalba, expert en cybercriminalité à l'université Sophia-Antipolis dans les Alpes-Maritimes et commandant honoraire du service de lutte contre la cybercriminalité à la PJ de Nice, "c'est comme si les données de l'hôpital avaient été copiées par les pirates et que, comme la rançon n'a pas été payée, ces derniers ont exécuté leurs menaces en mettant ces informations à la disposition de tout le monde. Pour ce faire, ils ont créé un serveur où les données sont en libre accès, à qui sait, à l'aide d'un navigateur spécifique, les récupérer".

Une information confirmée par un communiqué de presse du centre hospitalier de Cannes Simone Veil : "Le centre hospitalier de Cannes Simone Veil confirme que les données publiées dans la soirée du 1ᵉʳ mai lui appartiennent. La direction du centre hospitalier condamne cette publication et regrette les dommages éventuellement occasionnés auprès de certains de ces patients, professionnels et partenaires".

Le centre hospitalier de Cannes Simone Veil confirme que les données publiées dans la soirée du 1er mai lui appartiennent. La direction condamne cette publication.

La direction du CH de Cannes dans un communiqué.

"La qualification des données exfiltrées se poursuit et un retour dans les prochains jours, circonstancié et personnalisé, sera réalisé auprès des personnes et des institutions concernées. Ce retour intégrera également des conseils en cybersécurité à tenir dans ces circonstances. Accompagné du CERT-Santé et de différents partenaires spécialisés en cybersécurité, la direction du Centre hospitalier confirme avoir déposé plainte et contribuer activement à l'enquête en cours. Une alerte a également été envoyée à la CNIL et à l'ANSSI. Par ailleurs, l'activité de l'hôpital a repris son cours quasi ordinaire. Le rétablissement du fonctionnement normal de son système d'information se fait à un rythme soutenu, conforme au plan d'actions défini dès le début de la crise. Le suivi de la gestion de cette crise continuera d'être assuré durant les prochains jours".

Pierre Penalba décrypte les tenants et les aboutissants de cet acte criminel.

La manière dont les criminels ont pu procéder

Selon le spécialiste en cybercriminalité," trois possibilités existent afin de pénétrer le système informatique de ce type d'administration : soit par phishing ciblé, soit en ayant trouvé une faille dans le système de sécurité, soit par une clé USB".

Le phishing ciblé consiste à envoyer au personnel de l'organisme visé un mail qui contient une pièce jointe ou un lien, comme, un planning ou une mise à jour d'un logiciel. Une fois que vous cliquez sur le lien, vous infectez votre poste de travail et le virus se déploie alors dans l'ensemble du système et les hackers ont accès à ce qu'ils veulent. 90 % des attaques informatiques sont liées à du phishing.

"Percer le système de sécurité d'une administration me paraît plus complexe", selon l'ancien policier de la PJ. Si intrusion, il y a normalement des alertes ou des alarmes qui se mettent en place." On peut imaginer également qu'il y ait eu des complicités de personnes" ajoute Pierre Penalba. 

Troisième option, mais celle-là est très rare, selon l'ancien fonctionnaire de police, "c'est que les hackers aient bénéficié de la complicité d'une personne qui, via une clé USB, a fait entrer un virus dans le système. Une pratique plus rare et réservée presque exclusivement à de l'espionnage économique et industriel. Mais rien n'est à exclure au début d'une enquête".

Trois possibilités existent afin de pénétrer le système informatique de ce type d'administration : soit par phishing ciblé, soit en ayant trouvé une faille dans le système de sécurité, soit par une clé USB.

Pierre Penalba, expert en cybercriminalité.

Ce qui inquiète l'expert dans cette attaque, c'est "qu'il y a eu une faille quelque part. Normalement, les données volées n'auraient jamais dû être en clair, c’est-à-dire non cryptées. Le RGPD oblige les administrations à crypter leurs données, pour que si elles sont volées, elles soient inexploitables. Ici ce n'est pas le cas. Reste à savoir si c'est une faille humaine ou de logiciel" et d'ajouter "cela sous-entend que les hackers ont eu la clé de déchiffrement, ce qui me paraît fou, ou que les données n'étaient pas codées pour X ou Y raisons. Tout dépend des moyens qui étaient utilisés, du logiciel et d'un tas d'autres paramètres. Seule l'enquête pourrait nous éclairer sur ce fait".

Ce que les criminels ont dévoilé sur la toile 

Parmi les 61 gigaoctets de données confidentielles qui ont été diffusées, en clair, ce compte rendu d'une consultation pédiatrique du Centre hospitalier de Cannes.

"Dans les données qui sont diffusées, vous avez, entre autres, des données nominatives, des informations sur la santé, des numéros de Sécurité sociale..."  explique l'expert.

1 gigaoctet peut contenir 10 000 photos, en haute définition, de passeports. Vous imaginez toutes les informations contenues dans 61 Go !

Pierre Penalba, expert en cybercriminalité.

À qui et à quoi peuvent servir les données confidentielles mises en ligne ?

D'après le commissaire honoraire de la PJ de Nice, "en tant que personne honnête, ces données ne servent à rien. En revanche, pour certaines mal intentionnées, c'est une mine d'or qui va permettre de faire toutes sortes d'escroqueries. La liste est longue et variée. On peut même imaginer au chantage. Imaginez, il peut y avoir des informations sur la maladie d'un chef d'entreprise qui ne veut pas que cela se sache…!"

Comment se prémunir d'une cyberattaque ?

Si, d'une manière ou d'une autre, vous êtes lié à cette cyberattaque, "il vous faut redoubler de vigilance" selon Pierre Penalba. "Seuls mots d'ordre, sourcer mail, SMS ou appel téléphonique et les vérifier. Les faux sites ont fait beaucoup de progrès. Il n'y a plus de fautes d'orthographe, d'approximation. Aujourd’hui, ils ont l'air vraiment vrais ! De toute façon, du moment où vous êtes contacté et qu'on vous parle d'argent, de factures, de données bancaires, il faut que la méfiance soit immédiate".

Aujourd'hui, il faut avoir le reflex du contre-appel, pour vérifier qui vous contacte et pourquoi ! Il faut que la méfiance soit immédiate.

Pierre Penalba.

Et d'ajouter, pour l'exemple "si vous avez un mail de la Sécurité sociale, il faut, vous-même, rappeler la Sécu pour savoir si c'est bien elle qui est à l’origine de ce mail, de ce SMS ou de cet appel. Et, ce, pour tout organisme, public ou privé. Il faut avoir ce réflexe de contre-appel. C'est un peu terrible, mais il faut le faire."

Lockbit3.0. et la loi

Dans l'univers du darknet, aucune législation n'existe ! "C'est un espace de non-droit. C’est-à-dire qu'il n’est pas régi par les lois", explique Pierre Penalba, "c'est pour cela qu'il y a autant de criminels qui créent des sites de revente de produits, de stupéfiants, d'armes ou des sites de pédocriminalité ou que sais-je encore. Tout est possible, puisqu'il n'y a aucune possibilité pour un état de légiférer. Si quelque chose est mis en ligne sur le darknet, on ne peut pas l'enlever. Les seules possibilités qu'ont les forces de police, c'est d'arriver, en coopération internationale, à identifier les hommes qui se cachent derrière les serveurs qui hébergent les données et de les fermer. Mais c'est très difficile, cela nécessite énormément de moyens pour remonter jusqu'au site lui-même".

Le darknet est un espace de non-droit, qui n’est pas régi par les lois. Si quelque chose y est mis en ligne, on ne peut pas le retirer !

Pierre Penalba

"La dernière fois, pour infiltrer Lockbit3.0. il a fallu plus de trois ans de travail. Ce groupe a été démantelé, il y a quelque mois, au niveau international, mais en fait, c'est comme l'Hydre du marais de Lerne. On lui coupe la tête, et aussitôt, il y en a une autre qui repousse", déclare l'ancien policier. "Lors de la dernière opération, la police internationale a arrêté un des premiers affilié au premier cercle, mais pas Le chef du haut de la pyramide. Ce n'était pas l'auteur ou les auteurs du groupe Lockbit3.0. Donc aussitôt, une autre équipe est venue remplacer celle qui avait été arrêtée et le créateur réel du groupe a revendu ses outils à un autre groupe !".

En fait, ce groupe semblerait s'apparenter à un système mafieux. Il y a toujours un chef au-dessus du chef, que nul ne sait localiser. Le chef suprême distribuant ses outils numériques, via le darknet, et se faisant rémunérer en retour.

Une enquête en cours

Accompagné du CERT-Santé et de différents partenaires spécialisés en cybersécurité, la direction du centre hospitalier confirme avoir déposé plainte et contribuer activement à l'enquête en cours. Une alerte a également été envoyée à la CNIL et à l'ANSSI.