Nouvelle alerte pour les hôpitaux français, cette fois lancée par le site de veille du ministère de la Santé le 18 février 2021. Le Cert (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) les a avertis de la vente d’une base de données sur un forum cybercriminel. Le malfrat l’a publiée le 4 février sous le nom « FR medecine related database ». À l’intérieur se trouverait, d’après le vendeur, une liste de mots de passe et d’adresses email de « 50 000 comptes utilisateurs ». Le ministère de la Santé précise qu’ils appartiennent « vraisemblablement à des agents de centres hospitaliers ».
De son côté, le blogueur Damien Bancal explique sur Zataz que le cybercriminel lui a fourni des preuves du contenu de la base. Il a obtenu des emails liés à près d’une dizaine de centres hospitaliers, dont ceux de Lyon, Bordeaux, ou encore Besançon. Quel est le prix demandé par le malfaiteur pour se procurer la base ? 1 000 dollars. Un montant justifié par la possibilité d’utiliser ces identifiants pour mettre en place des attaques rançongiciels lucratives. Comme l’explique le ministère de la Santé, les acheteurs de la base pourraient utiliser ces informations pour essayer de se connecter aux VPN des hôpitaux ou à d’autres espaces en ligne comme les comptes Outlook et Gmail. Leur objectif final : rentrer sur le réseau informatique, et y déployer leurs logiciels malveillants.
Cette base de données a-t-elle vraiment de la valeur ?
Si cette mise en vente appelle à la mise en place de mesures de prévention dans les établissements concernés, difficile de savoir quelle est la valeur réelle de la base sans se la procurer. Contient-elle bien 50 000 lignes d’identifiants comme l’affirme le vendeur ? Ces identifiants sont-ils exploitables ? Pour rappel, dans ce genre de liste, le mot de passe associé à l’email est celui que la personne concernée a utilisé pour un de ses nombreux comptes en ligne (on ignore lesquels, cela peut aller d’un forum de jeu à un site de rencontre, par exemple), et non celui de l’email. Si la victime ne réutilise pas le mot de passe fuité pour se connecter à ses outils professionnels, la liste n’aura aucune utilité.
Ensuite, l’intérêt de la base varie si les données sont nouvelles ou déjà connues. Si la liste des identifiants d’agents hospitaliers contient des informations qui ont déjà fuité au préalable, le risque qu’elle représente sera amoindri. À titre de comparaison, l’an dernier, une source a communiqué à Cyberguerre une liste avec des mots de passe liés à des adresses gouvernementales (en « gouv.fr »). Cette base était un agrégat de plusieurs morceaux de fuites de données connues, comme la fameuse « Collections #1 ». Elle est dangereuse, car elle permet de cibler un secteur particulier, mais le Cert français avait déjà pris connaissance de son contenu, et averti les administrations concernées pour que les mots de passe compromis soient changés.
Les hôpitaux français déjà en alerte
Reste que même si les mots de passe de la base ne sont pas exploitables, rien que la liste des emails a de l’intérêt pour les malfrats. Elle permettrait à un cybercriminel de faire un ciblage précis, et de lancer un phishing taillé sur mesure pour piéger les personnels de santé.
Depuis le début de l’année 2021, les autorités doivent intervenir chaque semaine au chevet d’un hôpital français victime de rançongiciel différent. La médiatisation autour des deux dernières victimes, les centres hospitaliers de Dax et Villefranche-sur-Saône, ont poussé le président Macron a annoncer une série de mesures destinées à mieux défendre les établissements de santé. Ces mesures viennent en complément d’un plan d’investissement à l’échelle nationale, dont une petite partie est allouée au développement de l’Anssi, l’agence française en première ligne de la réponse à ces attaques.
Les hôpitaux sont des cibles intéressantes : ils paient la rançon dans plus de 80% des cas d’après un criminel. En France, l’Anssi pousse les victimes à ne jamais payer, mais la paralysie des services informatiques engendrée par le rançongiciel peut forcer les dirigeants à changer d’avis : parfois ce ne sont plus simplement des données, mais bien les vies des patients qui sont en jeu.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !