Enquête La santé, nouveau terrain de jeu des pirates informatiques

Les cyberattaques contre le monde de la santé explosent depuis plusieurs mois. Entre attaques crapuleuses et cyberespionnage, les raisons sont diverses, et les enquêtes complexes.

Article rédigé par
Cellule Investigation de Radio France - franceinfo - Maxime Fayolle
Radio France
Publié Mis à jour
Temps de lecture : 7 min.
 En 2020, 27 hôpitaux ont été la cible de pirates informatiques en France (illustration centre hospitalier de Tourcoing, 2019) (THIERRY THOREL / MAXPPP)

La nuit est calme à Villefranche-sur-Saône (Rhône) en ce 15 février 2021. Le week-end s’achève lorsqu’à 4h30 du matin, le responsable informatique de l’hôpital Nord-Ouest de la ville reçoit un appel. "Mon technicien d’astreinte m’explique que l’on est en train de subir une cyberattaque, raconte Nasser Amani. En 20 ans de travail dans les systèmes d’information hospitalier, c’est la première fois que l’on voit une attaque aussi bien préparée." L’hôpital est la cible du rançongiciel baptisé Ryuk. Un virus, introduit dans le système plusieurs jours auparavant, a peu à peu pénétré le système informatique, jusqu’à la dernière étape : le chiffrement des données. Les pirates demandent alors une rançon en échange de la clé de déchiffrement.

"Tout se fait à la main." En février 2021, l’hôpital de Villefranche-sur-Saône (Rhône) a été la cible du rançongiciel Ryuk.  (PHILIPPE DESMAZES / AFP)

Très vite, une course contre la montre commence. "Il faut d’abord tout arrêter, pour éviter que ça se propage, notamment dans nos infrastructures de stockage, poursuit Nasser Amani. Ensuite on met en place une cellule de crise et on passe en mode dégradé. Tout se fait à la main, les prescriptions, le suivi. On revient 20 ans en arrière." Heureusement, les serveurs avaient pu être sauvegardés peu avant l’attaque. L’hôpital n’a donc perdu aucune donnée. "Mais ça aurait pu être terrible, détaille Nasser Amani. On aurait pu tout perdre, des données de 25 ou 30 ans pour certains patients."

Ne pas céder au chantage des rançongiciels

S’il en avait été autrement, l’hôpital aurait-il payé la rançon demandée par les pirates ? "On ne s’est jamais posé la question", assure Nasser Amani. La doctrine en France pour les hôpitaux et les services publics plus globalement, est en effet de ne pas payer, pour ne pas encourager les attaques. Des entreprises privées l’ont pourtant parfois fait pour redémarrer leur activité au plus vite et éviter une perte de chiffre d’affaires. Aux États-Unis, certains hôpitaux également, ce qui incite aujourd’hui les pirates à continuer.

Et s’ils n’obtiennent pas d’argent, les pirates ne sont pas perdants pour autant, assure Stéphane Duguin, président du CyberPeace Institute, qui vient d’éditer un rapport sur le risque des cyberattaques dans le domaine de la santé. "Ils peuvent s’emparer des données médicales des patients, explique-t-il. Ce sont des données qui valent cher. Au marché noir, elles s’échangent autour de 250 euros l’unité. C’est la pierre angulaire d’autres criminalités, car d’autres vont s’en servir pour d’autres crimes, comme l’usurpation d’identité, fausse déclaration, accès aux coordonnées bancaires, escroquerie etc."

Des hôpitaux vulnérables sur le plan technique

Si les hôpitaux sont attaqués, c’est aussi parce qu’ils sont jugés techniquement plus vulnérables par les pirates. Vincent Trély est à la tête de l’Apssis, l’Association pour la promotion de la sécurité des systèmes d'information de santé : "À l’hôpital, dit-il, l’informatique n’a pas été une priorité ces dix dernières années. Un directeur d’établissement va préférer recruter des infirmières ou faire construire un nouveau bloc opératoire plutôt que de remplacer les PC ou investir dans des outils de sécurité pour se prémunir d’une menace qui ne se réalisera peut-être pas." 

"On a dans les hôpitaux français des PC qui peuvent avoir entre 5 et 10 ans et ça donne une certaine fragilité."

Vincent Trély, de l'Apssis

franceinfo

La rigueur du personnel hospitalier pose aussi question. A Villefranche-sur-Saône, selon les informations de la cellule investigation de Radio France, un salarié avait ouvert une pièce jointe d’un mail inconnu sur son lieu de travail lors d'une campagne d’hameçonnage. Ces faux e-mails imitent un courrier officiel et incitent à cliquer sur un lien ou une pièce jointe, ce qui permet à un virus de s’introduire dans un système. C’est ainsi – par pur opportunisme – que les attaquants ont pu s’infiltrer dans l’établissement.

Les laboratoires également visés

Les hôpitaux ne sont pas les seuls à subir des cyberattaques. Pendant cette période de crise sanitaire, les laboratoires pharmaceutiques ont été nombreux à être attaqués. C’est le cas de Sanofi, sans conséquences notables, mais aussi d’AstraZeneca ou de Moderna. Selon nos informations, de nombreux services de renseignement ont utilisé ces techniques pour en savoir plus sur la confection des vaccins.

L’Agence européenne des médicaments (AEM) basée aux Pays-Bas a également subi un piratage en décembre 2020. Mais l’objectif ici était différent. Selon Stéphane Duguin, du CyberPeace Institute, il s’agit d’une "double attaque" : "Il y a d’abord eu un piratage dur, avec vol de données, et ensuite la transformation, la manipulation de ces données, pour amoindrir la confiance du public dans l’efficacité d’un vaccin et donc servir un intérêt géopolitique." En l’occurrence, affaiblir la crédibilité de l’AEM en publiant sur le darkweb ses propres données falsifiées.

Des groupes criminels très organisés, parfois protégés par des États

Difficile de savoir qui se cache derrière ces attaques informatiques. Les groupes criminels sont souvent très bien organisés, en petites cellules déconcentrées, et peuvent parfois être protégés par des États. Deux zones du globe retiennent plus particulièrement l’attention : l’Asie (avec la Chine et la Corée du Nord) et l’Europe de l’Est (avec les pays de l’ancien bloc communiste).

Lors de certaines attaques, des enquêteurs ont retrouvé des morceaux de codes écrits en cyrillique, laissant à penser que des russophones se trouveraient derrière elles. Baptiste Robert, hacker "éthique", rappelle cependant qu’il faut prendre ces informations avec des pincettes : "C’est le jeu du chat et de la souris, explique-t-il. Parfois on trouve des petits indices dans un bout de code qui nous indiquent que potentiellement, ce serait là. Mais les attaquants qui créent ce code malicieux jouent aussi avec ça. Les Russes ont bon dos mais ils ne sont pas les seuls à pratiquer ce jeu." En matière de cyberespionnage, les États-Unis, par exemple, sont considérés par certains experts comme les champions du monde.

Des enquêtes longues et complexes

Tenter de remonter le fil d’une attaque nécessite du temps et de la coopération entre les polices de plusieurs États. L’efficacité de la réponse policière dépend alors de leur degré de coopération. Et ce n’est pas toujours simple. Selon le cyberenquêteur Pierre Penalba, auteur du livre Cyber crimes (Albin Michel, 2020), "dès qu’on sort du cadre français ou européen, il y a une lenteur due à la coopération. 

"Il y a différentes lois entre les pays, vous n’avez pas les mêmes règles, les mêmes services d’enquête, vous avez des disparités énormes."

Pierre Penalba

franceinfo

La France tente néanmoins de créer des coopérations avec ses partenaires d’Europe de l’Est. "Nous avons de bonnes coopérations avec la Russie et l’Ukraine, explique la sous-directrice de la lutte contre la cybercriminalité à la direction centrale de la police judiciaire, Catherine Chambon. Elles ont abouti à l’arrestation des auteurs d’Emotet, l’un des chevaux de Troie bancaires les plus nocifs depuis des années. Idem pour le dossier Egregor traité en trilatéral avec le FBI, l’Ukraine et nous-mêmes. Cela a pu permettre de démanteler l’équipe qui se trouvait derrière ce logiciel malveillant."

Malheureusement, dans le dossier Egregor, le procès des pirates arrêtés se tiendra en Ukraine, faute de pouvoir extrader les criminels. En France, seul le créateur du rançongiciel Locky, Alexander Vinnik, a été jugé à Paris en octobre 2020. Le parquet a fait appel de sa relaxe partielle sur les faits d’atteinte à un système de traitement automatisé de données. D’autres procès sont attendus, mais la réponse judiciaire est lente comparée à l’explosion des affaires pendantes de ce type devant la section cybercriminalité du parquet de Paris. Elles ont augmenté de 540 % depuis 2019.

L'inquiétude autour de la multiplication des objets connectés

L’avenir incite d’autant moins à l’optimisme que la multiplication des objets connectés laisse craindre la naissance d’un potentiel cyberterrorisme. Cette crainte n’est pas nouvelle, rappelle Vincent Trély, de l’Apssis : "En 1998, un homme a tué sa femme et la voisine de chambre de sa femme en prenant la main à distance sur les machines de monitoring de réanimation, et en les faisant dysfonctionner. Aujourd’hui, le risque est réel parce qu’on a de plus en plus d’objets connectés dans les hôpitaux. Tous ces mécanismes ont des fragilités."

Pour parer la menace, un référent cyber vient d’être mis en place au Parquet national antiterroriste. Par ailleurs, récemment, le président de la République a annoncé un plan d’un milliard d’euros afin de renforcer notre sécurité informatique. En attendant, les experts insistent sur la nécessaire sensibilisation du grand public aux bases de la cybersécurité : ne jamais ouvrir une pièce jointe inconnue, changer ses mots de passe fréquemment, les sécuriser. Bref, appliquer des gestes barrières, quelle que soit la nature du virus.

Commentaires

Connectez-vous à votre compte franceinfo pour participer à la conversation.