Cet article date de plus de deux ans.

Cyberattaque du centre hospitalier de Versailles : "Avec un clavier et un ordinateur, les hackers sont plus protégés qu'avec un gilet pare-balles", estime un repenti devenu négociateur

L'hôpital André-Mignot du centre hospitalier de Versailles a été visé samedi par une cyberattaque. Comment se déroulent les négociations avec les pirates ? Éléments de réponse.

Article rédigé par franceinfo, David Di Giacomo
Radio France
Publié Mis à jour
Temps de lecture : 7min
Le centre hospitalier de Versailles Andre-Mignot, le 29 juin 2018.  (LUC NOBOUT / MAXPPP)

C'est simple : c'est le retour du papier et du stylo. L'hôpital André-Mignot du centre hospitalier de Versailles, situé au Chesnay-Rocquencourt, dans les Yvelines, a été victime d'une cyberattaque samedi soir à 21 heures, révèle franceinfo dimanche 4 décembre. 

>> Yvelines : ce que l'on sait de la cyberattaque qui a visé l'hôpital André-Mignot de Versailles

Pour que l'attaque ne se propage pas, l'hôpital a coupé tout son système informatique. Six patients ont déjà été transférés vers d'autres établissement, d'après le ministre de la Santé François Braun en visite sur place. D'autres doivent également être transférés en ce début de semaine. Les urgences fonctionnent au ralenti, quant au Samu, il réoriente les patients vers d'autres hôpitaux via le 15.

Les établissements de santé : des cibles faciles

Les tentatives d'attaques d'hôpitaux et de collectivités sont quotidiennes. Il faut dire qu'ils sont très vulnérables, selon Florent Curtet, un repenti. Cet ex-pirate informatique a mené des audits dans plusieurs hôpitaux français. "C'est vraiment flippant : partage d'ordinateurs, pas de mot de passe, un mot de passe écrit sur un pense-bête... Il y a plein de failles !", alerte-t-il. "Du temps de Mesrine, c'était arme à feu et prise d'otage physique. Là, ils ont un clavier, un ordinateur et ils [les hackers] sont plus protégés qu'avec un gilet pare-balles", ajoute-t-il..

"Pour moi, la délinquance d'avant, c'est du pipi de chat comparé à ce qu'on vit maintenant et ce qu'on va vivre demain."

Florent Curtet, co-fondateur de Hackers sans frontières

à franceinfo

Demande de rançon attendue  

Pour s'en sortir, le centre hospitalier de Versailles doit maintenant négocier avec le groupe cybercriminel qui l'a visé. Le message diffusé sur les ordinateurs infectés est clair : "Tous vos fichiers importants ont été dérobés et cryptés. Suivez nos instructions." Lors de la cyberattaque de l'hôpital de Corbeil-Essonnes en août dernier, les pirates avaient réclamé dix millions de dollars avant de revenir à un million. Du côté de Versailles, la direction de l'hôpital n'évoque pas de demande de rançon, à ce stade en tout cas. Pour le moment, l'heure est à la gestion de crise.

Quand il est sollicité, voilà comment opère cet ancien hacker, sorte de "pompier cyber" pour tenter de négocier avec les pirates procède : il commence par faire "un état des lieux". "Y a-t-il des solutions pour régler le problème rapidement, de manière technique ? Mais en général, ce n'est pas le cas si on nous appelle", glisse Florent Curtet. Dans ce cas, il demande alors à la société "d'ouvrir des canaux de communication avec les rançonneurs" : "Soit je me mets à la place du directeur de l'informatique de la société qui s'est faite hacker et je joue le pathos, je joue l'émotion, souligne-t-il. Je leur dis qu'à cause de mes manquements de sécurité, la société est en train de mettre la clé sous la porte". Soit il se met dans la peau d'un ancien hacker : "Je fais jouer certains noms qui vont résonner dans leurs oreilles comme des légendes". Enfin, autre solution avancée : "Je me présente tel que je suis réellement mandaté, c'est-à-dire en tant que négociateur."

Pour Florent Curtet, ce genre d'attaque fait partie d'un véritable "business modèle" : "Si les gars prennent en otage une société et parviennent à se faire payer, et partent ensuite dans la nature, le cybergroupe est fini. Plus personne ne les paiera. Or, il y a un service commercial, un service Web, un service attaquant, un autre de récupération d'informations... C'est une industrie. Le but, comme dans toute négociation bipartite, est de trouver le meilleur équilibre tout en étant du côté de la victime", détaille-t-il. Et de préciser : "Les pirates chiffrent les montants de la rançon en fonction de ce qu'ils ont réussi à pirater. J'ai déjà vu des hackers, une fois la crise terminée, qui étaient vraiment moteurs pour aider à relancer l'usine en marche. C'est structurellement pérenne et c'est en cela que c'est effrayant".

"Forme de sidération"   

Même si elles sont virtuelles, ces attaques peuvent être très marquantes pour le personnel. Frédéric Rogé, ancien chef de la cellule négociation du GIGN, conseille aujourd'hui les sociétés qui subissent des cyberattaques. Il les compare d'ailleurs aux prises d'otage qu'il a connu. "Pour moi, c'est une crise humaine, insiste-t-il. C'est-à-dire que c'est un groupe qui rançonne un autre groupe humain". Il parle d'une "forme de sidération au départ" : "Il y a même un peu de déni. Ce sont des phases successives dans la gestion, où il faut aider le décideur à se remettre en scène et à reprendre le leadership sur la gestion de la crise."

"Souvent, quand on est amené à payer vite, c'est qu'il n'y a pas d'autres solutions. C'est souvent le manque de choix qui guide vers le paiement de la rançon."

Frédéric Rogé, ancien chef de la cellule négociation du GIGN

à franceinfo

"La première des choses que l'on peut faire avec les assaillants est d'essayer de rééquilibrer les forces de pression. C'est la même chose que lors d'une prise d'otages. Si l'on fait le comparatif avec un braquage dans une banque, vous êtes l'assaillant, vous allez devoir maîtriser toutes les victimes. Et votre intérêt, c'est de les guider, de les faire coopérer le plus rapidement possible par la force. Mon boulot, ici, c'est de faire baisser cette pression pour que l'assaillant soit moins prépondérant à mettre la pression et que le décideur soit plus apte à reprendre la main", explique le spécialiste au micro de franceinfo, selon qui le "temps est primordial dans la gestion de crise, car on en manque toujours".

Si les hackers n'obtiennent pas la rançon, il leur reste encore d'autres moyens de gagner de l'argent grâce aux données informatiques qu'ils ont dérobées. "Ramasser de l'argent ne va pas uniquement les intéresser. Dans un institut de santé, il y a des données pérennes qui sont intéressantes. Ils vont pouvoir les revendre, les exploiter pour pouvoir être plus performants dans d'autres attaques...", analyse-t-il. En septembre, des données confidentielles de patients de l'hôpital de Corbeil-Essonnes ont été divulguées, justement parce l'hôpital n'avait pas payé de rançon, sans doute aujourd'hui l'une des principales craintes du centre hospitalier de Versailles.

Commentaires

Connectez-vous à votre compte franceinfo pour participer à la conversation.