Attaques de rançongiciels sur les hôpitaux : quel « big game hunting »?

Avec la crise Covid, les hôpitaux et centres médicaux ont connu une vague d’attaques utilisant des rançongiciels (ou ransomeware), des logiciels malveillants qui encryptent les données et ne donnent la clef de déchiffrement que contre une rançon payée en crypto-monnaie. Cette recrudescence, qui a connu un pic impressionnant pendant le troisième quart de l’année 2020 et qui perdure en ce début de 2021, a également  touché la France et  les Etats-Unis1. Chose étonnante, Ryuk, le ransomware majoritairement utilisé dans ces attaques,  demande des sommes très élevées ce qui présuppose que les cibles sont choisies en fonction de leurs capacités  de paiement, cibles que l’on appelle le big game hunting. Cette logique s’applique-t-elle aux hôpitaux et centres médicaux ? Sont-ils les seuls à faire  l’objet de ces attaques ? Ces  quelques questions méritent un examen approfondi.

Big game hunting et système hospitalier

Le ransomware Ryuk, responsable d’une large part des attaques actuelles d’hôpitaux, n’a pas attendu la crise Covid pour frapper. Dès 2018, le FBI estimait qu’il s’agissait du  ransomeware le plus rentable de l’année, notamment car il avait permis de récolter quelques 61 millions de dollars entre février 2018 et octobre 20192

Une des particularités de Ryuk étant d’exiger des rançons particulièrement élevées, il cible des structures qui disposent de moyens financiers importants,  se classant ainsi  dans les logiciels malveillants qui pratiquent le ciblage, la chasse au gros ou «  big game hunting ». 

Ainsi des journaux comme le Los Angeles Times, le Chicago Tribune, le Wall Street Journal et le New York Times ont été attaqués Dans le  même sens, le Comité des services d’avocats publics de Boston n’a pas davantage été épargné3. Si ces victimes n’ont pas payé, il reste qu’elles étaient  en mesure de financer la rançon. Par ailleurs,  la rentabilité de Ryuk permet de penser  que d’autres cibles  ont payé mais se sont abstenues de  le faire savoir.

En effet, outre l’incertitude relative  aux conditions de  restitution des données, la doctrine officielle est de ne pas céder à ce chantage.

Pour des raisons tenant au souci de freiner la contamination, cette ligne de conduite est commune au FBI4 et à l’ANSSI5. En effet, un acteur qui paye encourage les hackers à étendre les attaques vers  d’autres cibles afin de démultiplier leurs profits.  Alors, quelle est la pertinence d’attaquer des hôpitaux français dont la plupart ont un budget tendu  et qui, dans tous les cas,  font partie de l’administration dont la ligne directrice est de refuser de céder au chantage et qui, quand bien même ils seraient prêts à payer,  souffriraient du manque de réactivité  inhérent aux structures étatiques ?

La pression de lopinion publique

La crise Covid a mis à rude épreuve les États et les citoyens du monde entier. En France, les journaux télévisés égrènent quotidiennement  les chiffres des nouvelles contaminations, des taux d’occupation de lits en service de réanimation, des taux de reproduction,  du nombre de décès… De facto, les projecteurs sont braqués  sur les systèmes de santé et sur le risque que chacun encourt d’être contaminé. Il n’est pas impossible que les opérateurs de Ryuk aient parié sur la pression de l’opinion publique pour infléchir la doctrine de non paiement des rançons dès lors que le blocage de l’accès à l’informatique des services de santé peut mettre en péril  la vie des patients et, au-delà,  la sécurité collective de la population. En outre, le climat de tension social, qui prévalait déjà avant la pandémie et qui s’est notamment exprimé au travers de  la crise des Gilets jaunes et par les mouvements de grèves des services hospitaliers eux-mêmes, allié à  la lassitude causée par les confinements et couvre-feu successifs plaident en la faveur d’une réactivité accrue de l’opinion publique. Cependant, peut-on conclure  qu’en cas d’échec de leur tentative de rançonnage,  les opérateurs de ransomewares n’ont rien gagné ?

La manne financière des données de santé

Outre le paiement des rançons, la vente des  données dérobées  aux  hôpitaux constitue une source de profit significative. En effet, les données contenues dans les dossiers médicaux, très recherchées sur le dark web, se revendent à des prix particulièrement élevés.

Selon le Trustwave Security report6 un dossier médical pourrait se vendre jusqu’à 250$.

Plus  modestes, d’autres sources  annoncent des tarifs qui oscillent  entre 70 et 90$. Néanmoins, outre la variation des cours et des estimations, ces montants restent très intéressants si on les compare au  prix de vente d’un numéro de carte de crédit sans le cryptogramme, qui se négocie autour d’un dollar US, ou d’une carte de crédit avec données complète qui,  selon le pays d’origine, peut  atteindre 30$.  Ces données, qui permettent de surcroît d’usurper facilement l’identité de leurs propriétaires, montrent bien tout l’intérêt pour les hackers à faire main basse sur  les fichiers des hôpitaux.

Entre chantage et  intelligence économique

Enfin, un autre moyen de monétiser facilement ces données est  le chantage sur les personnes  ou la mise aux enchères de dossiers de particuliers. L’attaque qui avait visé une clinique de chirurgie esthétique londonienne à la clientèle triée sur le volet illustre ce premier vecteur de profit7. Il est très possible  que les clients de cet institut, probablement  peu enclins à divulguer la nature des interventions qu’ils y ont subies, aient été contactés et que la remise de leur dossier médical ait été conditionnée au paiement d’une rançon. Si les victimes refusent de céder au chantage, elles courent le risque que leurs dossiers soient rendus publics ou vendus aux enchères sur des réseaux clandestins.

Un autre aspect touche au monde des affaires où  la santé des dirigeants reste souvent un sujet sensible8. Dans le cas où des discussions  sensibles sont en cours, où des entreprises sont en concurrence pour décrocher des marchés importants, préparent leur entrée en Bourse…  la divulgation d’informations jetant le doute sur la bonne  santé des organes dirigeants de l’entreprise peuvent avoir des effets désastreux sur la négociation, permettre à un concurrent peu sourcilleux de l’éthique de prendre un avantage décisif ou encore  faire baisser drastiquement le cours des actions, facilitant ainsi une OPA hostile.

Dans ce contexte, l’existence d’un marché fructueux pour les données médicales est en lien direct avec le risque de voir perdurer ce type d’attaque sur les hôpitaux.

En effet, bien que les Etats fassent généralement pression pour que les rançons ne soient pas payées et que des hôpitaux, quand bien même ils le souhaiteraient, ne disposent pas des moyens nécessaires pour céder au chantage, par manque de moyens ou d’agilité, il n’en reste pas moins que ces donnés spécifiques font l’objet d’une demande soutenue. Or, qu’il s’agisse de l’économie légale ou parallèle, la demande crée l’offre, cette dernière créant  ensuite un écosystème de plus en plus concurrentiel, chaque opérateur cherchant à augmenter ses marges et à optimiser ses gains.

Les hôpitaux, une opportunité pour les hackers ?

A la lumière de ces éléments, on comprend mieux l’intérêt de cibler les centre médicaux et les hôpitaux. En outre, si la pandémie les a mis sous le feu des projecteurs, elle a aussi accru  leurs failles de sécurité. En effet, parmi les  points qui font que les hôpitaux sont des cibles de choix, certains ont été largement accentués par la crise. A ce titre, le travail sur site distant a ouvert une brèche dans leur dispositif de sécurité informatique, chaque connexion à un réseau à partir de nouveaux appareils étant risquée si ces matériels n’ont pas été sécurisés préalablement. Au surplus, un seul appareil piraté peut ouvrir l’accès à tout un système. En outre, ajoutés aux personnels travaillant à domicile, les sites itinérants de test et de vaccination, éloignés des centres médicaux sont un facteur de risque supplémentaire, en particulier si la connexion au réseau hospitalier se fait  depuis des appareils personnels.

Enfin, l’urgence et la pression à laquelle les personnels soignants doivent faire face  participent à en faire une cible de choix : la nécessité d’accéder rapidement aux  données de santé dont peuvent dépendre des vies humaines aura tendance à prévaloir sur des réflexes de sécurité, au demeurant souvent perfectibles, des réseaux informatiques.

Un autre facteur qui concourt à accroître l’attractivité des hôpitaux pour les hackers tient aux innovations technologiques qui marquent le milieu de la santé mais augmentent corrélativement sa surface d’attaque.

De nombreux appareils, couramment utilisés dans de nombreux protocoles de soins, sont des objets connectés qui ont été conçus pour leur utilité thérapeutique  et non  pour leur aptitude à résister à des attaques cyber.

A ce titre, ils ouvrent davantage de points d’entrée aux attaques, car même s’ils ne stockent pas directement  les données des patients, ils peuvent être utilisés pour lancer une attaque sur un serveur contenant  les éléments  recherchés. A l’autre bout de la chaîne demeurent  les failles induites  par un  matériel informatique hors d’âge peu adapté au développement d’une  stratégie efficace de lutte contre les attaques.

Enfin, les modalités de stockage des données, souvent concentrées sur un serveur unique et l’élimination imparfaite des données précédemment enregistrées participent à faire de bien des hôpitaux des cibles de choix pour les hackers.

Quant à savoir qui…

On le voit le marché que représente malgré eux les hôpitaux et centres médicaux est plus qu’alléchant et l’identification des pirates responsables de ces attaques reste problématique. Ryuk, le ransomeware principalement utilisé dans les attaques d’octobre 20209, n’est pas clairement rattachable  à un groupe d’opérateurs précis. En effet, s’il ressemble à Hermès, un autre rançongiciel, il en diverge sur plusieurs points. Tout d’abord, Hermès était un RaaS, un « Ransome As A Service ». En d’autres termes, le groupe qui l’a créé le commercialise sur des forums clandestins, pour 400 $ environ, à d’autres groupes qui s’en servent pour s’introduire dans les réseaux informatiques de leurs victimes afin d’empocher les rançons. Or Ryuk n’a pas été revendu et n’est donc pas précisément un RaaS même s’il est un acteur important de la sphère cyber-criminelle. Cela ne simplifie pas pour autant l’identification de son opérateur. 

En effet, Ryuk doit disposer d’une chaîne d’infection, c’est-à-dire que le ransomeware ne se déploie qu’après que d’autres logiciels malveillants aient pénétré le réseau ciblé.

S’agissant des attaques visant les hôpitaux, plusieurs ont pu être utilisés, parmi lesquels Emotep, TrickBot et Bazarloader. Une fois ces  logiciels malveillants entrés dans le système, souvent par le biais d’un classique courriel d’hameçonnage, les attaquants peuvent accéder à un contrôleur de domaine qui leur permet alors de déployer Ryuk. L’opération complète prend de quelques jours à quelques heures.

Là encore, les codes malveillants ne sont pas strictement attachés  à un opérateur précis. Si Crowdstrike relie TrickBot au groupe Wizard Spider, il apparaît que selon FireEye, un  autre groupe, UNC1878 (alias One group), serait à l’origine des attaques à l’encontre d’hôpitaux américains depuis octobre 2020. Enfin d’autres acteurs, issus du groupe criminel russophone FIN6, auraient également participé à des attaques mettant en œuvre les rançongiciels Ryuk mais aussi LockerGoga.

Ainsi, différentes options restent sur la table quant au perpétrateur de Ryuk. Selon une hypothèse, plusieurs acteurs malveillants utiliseraient Ryuk. Une autre approche serait que Ryuk résulterait  d’un unique opérateur qui pourrait faire appel à plusieurs logiciels dans la chaîne d’infection qui lui est nécessaire. Cet opérateur pourrait alors solliciter un ou plusieurs hacker-for-hire, sorte de pirates informatiques mercenaires à la recherche d’emploi, comme cela se pratique dans la sphère économique légale. Cette hypothèse pourrait expliquer, par exemple, l’apparition de membres du groupe FIN6. 

Enfin, comme le rappelle l’ANSSI une troisième hypothèse serait celle d’un opérateur unique qui mettrait Ryuk à la disposition de partenaires de choix. 

Les données de santé sont de plus en plus attractives pour les pirates informatiques soucieux de s’enrichir, notamment parce qu’elles sont l’objet d’un réel marché. Ce marché a pour effet d’exacerber les concurrences et, par conséquent, d’accroître le risque d’attaques informatiques pour les structures susceptibles d’être ciblées.

La crise Covid a tout à la fois accru la surface d’attaque des services de santé et focalisé l’attention que l’opinion publique accorde à ce sujet d’autant plus anxiogène que les hôpitaux sont sous tension.

Au final, l’attrait pour les hackers des données contenues dans les dossiers médicaux n’étant pas appelé à  décroître, il est désormais impératif  d’organiser la défense des systèmes d’informations susceptibles d’être  visés et, en même temps, de sensibiliser et de former les utilisateurs (clients et professionnels) afin de limiter la surface d’attaque d’un secteur devenu un enjeu économique particulièrement stratégique.

Christine Dugoin-Clément
Analyste pour le think tank CapeEurope
Chercheur à l’Université Paris 1 Panthéon-Sorbonne