Cyberattaque : détournement de compte prestataire suspecté au CHSF

[Mise à jour, le 25 août @20h15] Le RSSI de Corilus a adressé à la rédaction la réponse suivante : « Corilus a été informée hier de cet incident. La sécurité des données est une priorité absolue au sein de notre organisation, et étant donné que l’un de nos clients est concerné, nous avons décidé par précaution de contacter tous nos autres clients aussi rapidement que possible afin qu’ils prennent les mesures appropriées, comme le prescrivent les bonnes pratiques du secteur. Les pirates disposent de plusieurs méthodes pour pénétrer un système, dont le détournement de comptes d’utilisateur de support. Nonobstant les mesures de sécurité très élevées que nous appliquons conformément aux bonnes pratiques du secteur, nous avons demandé à nos clients de prendre certaines mesures de sécurité à titre préventif. Nous n’avons à ce jour pas connaissance que Corilus soit impliquée dans cette cyberattaque ».

Cette déclaration ne répond que très partiellement aux questions que nous avons adressées précédemment. Nous les avons réitérées. 

[Mise à jour, le 25 août @18h00] Selon nos informations, les enquêteurs en charge de la cyberattaque ayant conduit au déclenchement du ransomware LockBit, le week-end dernier, au centre hospitalier Sud-Francilien (CHSF), à Corbeil-Essonnes, suspectent actuellement que le détournement d’un compte de support d’un éditeur ait servi de vecteur d’intrusion initiale.

Diverses sources concordantes nous ont confirmé que l’éditeur en question, Corilus, invite les établissements de santé clients de son logiciel Softalmo, par téléphone – quitte à générer une certaine confusion, nous a confié l’une de nos sources – comme par e-mail, à « bloquer l’accès à [leur] système d’information pour son personnel ».

Suggérant, entre parenthèses en fin de phrase, d’étendre la mesure à « vos autres fournisseurs », Corilus n’évoque pas d’incident de sécurité qui lui serait spécifique. L’éditeur ajoute d’ailleurs qu’en « tant que sous-traitant de données personnelles, nous sommes tenus de vous informer de tout risque potentiel, aussi improbable soit-il ».

Nous avons sollicité par e-mail le RSSI de Corilus. Les réponses à nos questions ne nous sont pas parvenues à l’heure où nous publions ces lignes. Nous ne manquerons pas de modifier cet article quand elles nous auront été adressées.

[Mise à jour, le 23 août 2022 @18h30] Une « source proche de l’enquête » a indiqué à nos confrères de l’AFP l’implication du ransomware LockBit dans la cyberattaque qui a frappé ce week-end le centre hospitalier Sud-Francilien. À ce stade, les opérateurs de la franchise LockBit 3.0 n’ont pas indiqué s’ils considèrent, ou non, que cette attaque constitue une violation des règles appliquées à leurs affiliés.

[Article original, le 22 août 2022 @19h30] Ce lundi 22 août au matin, nos confrères de RMC révélaient que le centre hospitalier Sud-Francilien (CHSF), à Corbeil-Essonnes, avait été victime d’une cyberattaque avec ransomware, durant le week-end.

Selon RMC, une rançon de 10 millions de dollars a été demandée et « les urgences fonctionnent en mode dégradé ». En outre, « certaines opérations chirurgicales prévues ce lundi au CHSF doivent également être reportées ».

Mais nos confrères du Monde apportent des informations additionnelles. Outre des conditions opérationnelles fortement dégradées, ils relèvent que les investigations ont été confiées aux gendarmes du Centre de lutte contre les criminalités numériques, le C3N. Cette information constitue un indice important sur la famille de ransomware impliquée dans l’attaque conduite par le CHSF.

Comme le précisait, début 2021, Anne Souvira, commissaire divisionnaire, chargée de mission aux questions relatives à la cybercriminalité, au sein du cabinet du préfet de police de Paris, les enquêtes sont distribuées entre police nationale et gendarmerie nationale suivant « le nom du rançongiciel utilisé ».

Les cyberattaques impliquant Hive et Vice Society apparaissent ainsi traitées du côté de la police nationale, tandis que celles impliquant LockBit ou Ragnar Locker le sont par les services spécialisés de la gendarmerie nationale.

Une cible telle que le CHSF ne correspond pas aux habitudes de Ragnar Locker, qui semble avoir historiquement concentré ses efforts sur des cibles de plus haut niveau. Leur première victime a été connue début avril 2020 : l’armateur MSC. D’autres ont hélas suivi : l’énergéticien EDP, Carlson WagonLit Travel, le groupe Campari, Capcom, CMA-CGM, ou encore Dassault Falcon Jet, et même plus récemment LDLC.

L’éventail de victimes de LockBit est considérablement plus diversifié. En France, un affidé de la franchise est notamment responsable de l’attaque contre Clestra Hauserman. C’est également sur la vitrine de la franchise qu’a été revendiquée la cyberattaque contre La Poste Mobile.

Vice Society pourrait aussi être bon candidat : il n’hésite pas à s’attaquer au secteur médical. Il vient d’y revendiquer deux victimes, outre-Atlantique. En France, le groupe a revendiqué l’attaque contre le centre hospitalier de Castelluccio ainsi que celui d’Arles. Mais les cyberattaques conduites avec les outils de Vice Society semblent plutôt affectées à la police nationale.

Reste que LockBit 3.0 fixe des réserves à ses affidés pour les attaques contre les cibles dans le secteur de la santé, mais pas d’interdiction généralisée. Ainsi, peut-on lire sur la vitrine de la franchise, « il est interdit de chiffrer les établissements où l’endommagement des fichiers pourrait entraîner la mort, comme les centres de cardiologie, les services de neurochirurgie, les maternités et autres, c’est-à-dire les établissements où des interventions chirurgicales sur des équipements de haute technologie utilisant des ordinateurs peuvent être effectuées ». Cependant, « il est permis de voler des données dans n’importe quel établissement médical sans les chiffrer, car elles peuvent constituer un secret médical et doivent être strictement protégées conformément à la loi. Si vous n’arrivez pas à déterminer si une organisation médicale particulière peut être attaquée ou non, contactez le service d’assistance ».

Si l’attaque contre le CHSF a été conduite avec le ransomware de la franchise LockBit, cela pourrait constituer une violation de ces règles. Nous avons interrogé les opérateurs de la franchise à ce sujet, mais n’avons pas encore reçu de réponse.