La cyberattaque se serait déclenchée aux alentours de 2h dans la nuit du samedi 26 au dimanche 27 septembre. Depuis, une majorité des 400 établissements de santé américains et britanniques de Universal Health Services (UHS) doivent fonctionner avec des crayons et du papier, d’après Wired. Californie, Texas, Floride, Washington DC… l’attaque s’est répandue dans tout le pays, sans que le détail des hôpitaux touché n’ait été indiqué. À chaque fois, ni les ordinateurs, ni les téléphones, ni les appareils ne fonctionnent. Impossible pour les médecins d’effectuer des radiographies ou des électrocardiogrammes.
UHS reste pour l’instant évasive, mais elle a tout de même publié un communiqué : « Nous mettons en place des protocoles complets de sécurité informatique et nous travaillons en bonne intelligence avec nos partenaires en sécurité informatique pour restaurer nos opérations le plus rapidement possible. En attendant, nos établissements utilisent les procédures de secours, et notamment des méthodes de documentation hors ligne. »
L’entreprise publique précise que les soins aux patients sont « pratiqués en sécurité et efficacement », mais plusieurs médias indiquent que les nouveaux patients qui demandent des interventions chirurgicales sont redirigés vers des hôpitaux proches.
Le 10 septembre, une femme qui devait être accueillie en urgence à l’hôpital universitaire de Duesseldorf a succombé. L’établissement de santé avait redirigé son ambulance vers un autre hôpital à plus de 30 minutes de trajet, car il faisait face à une cyberattaque et ne pouvait pas la prendre efficacement en charge. Cette cyberattaque lui a coûté la vie.
La piste ransomware privilégiée
Le Bleeping Computer, a observé dans cette attaque les nombreux signes d’un ransomware (ou rançongiciel en français). D’abord, le mode opératoire de l’attaque : les cybercriminels l’ont déclenchée la nuit, un week-end. Les opérateurs de rançongiciels agissent ainsi pour profiter du sous-effectif des équipes de sécurité, qui auront moins de chance d’endiguer l’attaque en urgence, avant qu’elle ne se répande à l’ensemble des systèmes.
Ensuite, les fichiers des ordinateurs auraient été renommés en .ryk, un nom d’extension de fichier utilisé par le ransomware Ryuk, d’après un employé. Un autre aurait vu une note de rançon intitulée « Shadow of the Universe », une phrase aussi utilisée par le gang. Dans un premier temps lié à la Corée du Nord, Ryuk est désormais considéré comme un groupe cybercriminel russe. D’après l’Anssi — l’agence française de référence sur ces questions — il serait derrière les attaques françaises contre Fleury Michon et Bouygues construction. Et plus récemment, il s’est illustré avec son attaque réussie contre le fabricant d’objets connectés Garmin, où il aurait obtenu le paiement d’une rançon de 10 millions de dollars.
Avec 11,4 milliards de dollars de chiffre d’affaires sur l’année 2019, Universal Health Services est une cible de choix, puisqu’elle peut encaisser dans sa trésorerie le paiement d’une rançon très élevée.
Question de vie ou de mort autour de la rançon
Et ce n’est pas tout : la paralysie de ses hôpitaux peut mener à des dégâts physiques, voire à la mort de patients. Cette question de vie ou de mort pèse lourd dans le choix que l’entreprise ou l’organisation ciblée doit effectuer : doit-elle payer les rançonneurs pour refaire fonctionner son système rapidement ? Ou doit-elle patiemment reconstruire son réseau à partir des sauvegardes, quitte à fonctionner au ralenti pendant plusieurs semaines, voire plusieurs mois ?
Avec la vie de patients dans la balance, la première solution pourrait être privilégiée, et les cybercriminels le savent. Sauf qu’en payant, l’entreprise récompenserait l’activité criminelle, et l’aiderait indirectement à s’améliorer : elle participerait au cercle vicieux qui a mené à la création de groupes de rançonneurs tout-puissants, capables de s’attaquer à n’importe quelle organisation pour exiger des rançons toujours plus élevées.
UHS avance dans son communiqué qu’aucune donnée de patient ou d’employé n’a été « touchée, copiée, ou utilisée à des fins malveillantes ». Ce constat, établi à peine un jour après l’attaque, alors que l’enquête interne n’est pas finie, pourrait rapidement être contredit.
Ces dernières années, les opérateurs de ransomware ont fait évoluer leurs méthodes vers du chantage à la fuite de données. En plus de chiffrer les systèmes informatiques de leur victime, ils en font une copie. Si la victime ne paie pas, ils menacent de diffuser publiquement ou de vendre les données de ses employés et ses clients. Si Ryuk a eu l’opportunité, au cours de son attaque, de mettre la main sur une partie des données des 90 000 employés de UHS et des 3,5 millions de patients accueillis chaque année dans ses hôpitaux, ils l’auront fait.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !