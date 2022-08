ENTRETIEN

Depuis ce dimanche 21 août, le Centre Hospitalier Sud-Francilien à Corbeil-Essonnes est victime d’un chantage sur ses dispositifs informatiques entièrement bloqués. Les pirates réclament 10 millions de dollars pour libérer les données. L’hôpital refuse de payer la rançon. Décryptage avec Damien Bancal, fondateur du site Zataz et spécialiste en cybercriminalité.

Publicité Lire la suite

RFI : Céder au chantage ou négocier avec des cybercriminels, que doivent faire les responsables du Centre Hospitalier Sud-Francilien à Corbeil-Essonnes ?

Damien Bancal : Dans tous les cas, négocier avec ce genre de population est impensable, ils vont promettre d’effacer les données, c’est un mensonge. Ils les ont déjà copiées, stockées dans des serveurs à droite à gauche sur internet. Ils vous promettent de tout effacer, de ne rien diffuser, mais ils ont déjà trié. Ces informations vont permettre de lancer d'autres cyber-attaques, peut-être sous votre nom. Alors, il existe des négociateurs plus ou moins honnêtes qui vont faire baisser les prix.

►À lire aussi : France: un hôpital victime d’une cyberattaque, les hackers exigent 10 millions de dollars

Je vais vous donner un exemple très concret : une entreprise m’a contacté en me demandant : « on doit négocier parce que nous, on a tout perdu, on n’a aucune sauvegarde, comment pouvons-nous négocier ? » Je sais qu’ils ont trouvé le moyen de réduire « cette demande de rançon » dans un coût qu’ils ont considéré comme justifiable. Mais il faut arrêter de se voiler la face quand un pirate informatique vous dit : « Aie confiance, tu me donnes de l’argent et moi, je détruis tout ». C’est clairement faire confiance au diable, et on n’est pas plus malin que le diable.

Des experts de l'Agence nationale de la sécurité des systèmes d'informations ont été dépêchés sur place pour mener l’enquête et aider l’hôpital à restaurer ses systèmes numériques.

L’hôpital a fait appel à l’Agence nationale de la sécurité des systèmes d'informations (ANSSI), l’agence nationale de système de sécurité informatique, ils ont aussi fait appel à une société très connue en cybersécurité qui va permettre d’abord de savoir par où sont rentrés les pirates, qu’est-ce qu’ils ont pu faire, et depuis combien de temps ils étaient dans les machines. Des pirates informatiques, on a énormément de cas où ils sont là depuis plusieurs semaines, où ils ont eu le temps de remonter différents ordinateurs, différentes machines.

Ensuite, une fois qu’il y a eu sécurisation, il va falloir tout remettre en place : les logiciels, les process de santé, d'administratifs et autres. Donc là, ça va prendre du temps. Et on se rend compte quand même qu’ils avaient déjà mis en place certains éléments. Pour preuve, ils sont attaqués le dimanche, et dès le lundi, ils ont été capables de pouvoir dispatcher des patients, d’alerter et de pouvoir tenter de continuer un semblant de service.

Les gendarmes du Centre de lutte contre les criminalités numériques tentent d’identifier le groupe à l’origine de l’attaque. Mais cette enquête difficile prendra du temps…

On n'a aujourd’hui aucune information officielle sur quel est ce type de groupe de pirates informatiques cachés dans ce type de cyberattaque. L’hôpital, qui ne souhaite pas en parler, souhaite garder le secret le plus longtemps possible pour éviter de faire trop de publicité à ces pirates qui auraient envie de s’en vanter.

On ne va pas se voiler la face, il existe quatre, cinq, groupes véritablement très actifs en ce moment sur le réseau. L’un d’eux est russophone il s’appelle LockBit. Le problème, c’est que ces groupes utilisent des dizaines, voire des centaines de petits soldats qui vont travailler aux plus offrants. Donc, ils peuvent travailler pour un groupe le lundi, le mardi pour un autre groupe. L’important pour eux c’est du business, et ils le disent. Mais ils vont très vite se rendre compte qu'il n’y aura pas paiement. Et ils vont se venger, peu importe si c’est un hôpital, ils vont diffuser ce qu’ils ont pu voler.

►À lire aussi : France: l'État lance un nouveau dispositif d'alerte contre la cybercriminalité

NewsletterRecevez toute l'actualité internationale directement dans votre boite mail Je m'abonne