Cet article date de plus d'un an.

Hôpital de Corbeil-Essonnes cyberattaqué : les pirates jouent au "poker menteur" selon un journaliste spécialisé

"Tout se vend et tout s'achète" pour les hackers, selon Damien Bancal du site spécialisé Zataz.com. Leur principale "mission" est de "toucher de l'argent". 

Article rédigé par franceinfo
Radio France
Publié Mis à jour
Temps de lecture : 4 min
L'hôpital de Corbeil-Essonnes, le 26 août 2022.  (EMMANUEL DUNAND / AFP)

Les pirates jouent au "poker menteur", a affirmé dimanche 25 septembre sur franceinfo Damien Bancal, journaliste, spécialiste en cyberdéfense et cyber-intelligence et rédacteur du site Zataz.com, alors que le groupe de hackers russophones Lockbit 3.0 qui a orchestré une cyberattaque par chiffrage contre le Centre hospitalier Sud Francilien de Corbeil-Essonnes (CHSF), a commencé à diffuser des données vendredi 23 septembre. Pour les pirates, "tout se vend et tout s'achète", souligne Damien Bancal. Leur "mission principale, c'est de toucher de l'argent".

franceinfo : Est-ce que c'est un bras de fer qui est en train de se jouer entre les hackers et la direction de l'hôpital de Corbeil-Essonnes ?

Damien Bancal : C'est exactement cela. On pourrait même dire un bras de fer et du poker menteur. Les pirates informatiques le savent depuis le début : toute entreprise qui ne payera pas leur malveillance se retrouvera avec l'intégralité des données qui ont pu être exfiltrées, diffusées comme un échantillon gratuit qui va montrer aux autres entreprises qui ont pu être infiltrées, que si jamais elles ne payent pas, elles finiront exactement pareil avec leurs données qui vont être diffusées.

Mettre la main sur des données administratives et médicales, est-ce que c'est cela le cœur du piratage ?

On a affaire à des pirates informatiques qui ont inventé ce que j'appelle le ‘marketing de la malveillance’. Quand ils ont infiltré et bloqué l'entreprise - le centre hospitalier pour ce cas-là - ils se disent, on bloque tout et on va nous payer le déblocage. Sauf qu'ils ont rajouté des lames malveillantes à leur couteau suisse. Si l'entreprise ne paye pas le déblocage, elle va peut-être payer le fait que ces pirates ne diffusent pas les informations. Et si jamais l'entreprise ne paye pas cette seconde rançon réclamée, ils toucheront de l'argent, soit en diffusant gratuitement comme un échantillon, ce qui fera peur à d'autres entreprises. Soit carrément, ils vont revendre, ils vont redistribuer à d'autres pirates collègues et partenaires, dont la mission principale, c'est de toucher de l'argent.

Une radio médicale, un résultat d'examen, qu'est-ce que cela vaut pour les pirates ?

Pour les pirates informatiques, tout se vend et tout s'achète. On a affaire à une base de données dans laquelle on va pouvoir, par exemple, trouver une adresse électronique. Cela va se revendre à des pirates informatiques qui vont orchestrer des hameçonnages, se faire passer pour l'assurance-maladie, par exemple. Avec des numéros de téléphone, il vont pouvoir recevoir et envoyer des SMS de l'assurance-maladie ou d'autres fausses entités. Cela va permettre à ces pirates et à leurs collègues de rentabiliser ces bases de données qu'ils veulent.

Une fois que ces données sont aux mains des pirates, on ne peut plus rien faire contre cela ?

Il est là le gros problème. On sait que l'on a des gens très compétents, par exemple au C3N (Centre de lutte contre les criminalités numériques), la gendarmerie, qui travaillent sur le sujet. Mais à partir du moment où les données ont fuité, ces données sont définitivement perdues. Elles sont dans les mains d'abord de ces pirates informatiques, les primo-accédants. Sauf que quand ils diffusent, on a plein de petites sangsues qui viennent se coller aux données qu'ils diffusent gratuitement, des sangsues pirates qui vont extraire les informations qui les intéressent. Et ils vont les utiliser dans trois semaines, six mois, un an. Ces données vont continuer à vivre dans les mains de pirates, même le jour où je serai décédé.

Ces hackers russophones, ce groupe Lockbit 3.0, sont-ils connus, sont-ils repérés ?

Ils ne le sont que trop tellement ils agissent. Un exemple très concret. Depuis le cas de Corbeil-Essonnes, ils ont plus de 150 autres victimes dans leur escarcelle de malveillants. On les connait, parce qu'ils communiquent énormément, parce qu'ils sont joignables facilement. On peut converser avec eux. C'est ça qui est complètement fou. Ils ont mis en place des services après-vente. Maintenant, savoir où ils se trouvent… S'ils sont au fin fond de la Russie, cela va être très compliqué. Aujourd'hui on a clairement affaire à du piratage qui a pignon sur rue, parce qu'ils ont inventé le marketing de la malveillance. Ils communiquent. On a des pirates qui n'ont même pas peur de téléphoner à leurs victimes ou carrément téléphoner aux partenaires commerciaux des victimes qu'ils ont infiltrées. Ils sont capables de tout parce qu'ils savent qu'il y a de l'argent. Un petit chiffre que j'ai sorti de nos propres recherches : sur 170 entreprises dans le monde piratées et communiquées ces derniers jours, 42 ont déjà payé.

Est-ce que le nombre de piratages contre rançon a fortement augmenté en France ces derniers temps?

Il a explosé. Rien que l'exemple de Lockbit, ce fameux groupe avec le centre hospitalier, en une semaine, il affichait déjà quinze autres nouvelles sociétés françaises qu'il avait infiltrées, et donc exfiltrées en informations qu'ils avaient pu voler.

Commentaires

Connectez-vous à votre compte franceinfo pour participer à la conversation.