CHU de Rennes : un compte de prestataire détourné pour la cyberattaque

Lors d’une conférence de presse organisée ce vendredi 23 juin au matin, et suivie par nos confrères de Ouest France, Christine Pichon, directrice des systèmes numériques du CHU de Rennes a expliqué que « les premières alertes ont été données mercredi 21 juin vers 16h30 par Orange Cyberdefense » : les équipes du fournisseur de services de sécurité managés, avec son offre Micro SOC, ont « repéré des fuites de données d’adresses IP anormales ». De quoi motiver une rapide coupure des connexions à Internet. 

Cette coupure est donc survenue avant que n’en soient informés les collaborateurs de l’établissement qui ne recevront une communication interne que peu avant 21h30. Aucun déclenchement de rançongiciel n’est à déplorer, mais il y a bien eu une exfiltration de données, dont la quantité et la nature restent à déterminer. Mais comment est-ce survenu ?

De sources concordantes, la cyberattaque est due au détournement d’un compte de VPN SSL créé par les équipes du CHU de Rennes à l’intention d’un tiers, éditeur de logiciels métiers, à des fins de maintenance applicative : des connexions à ce compte ont été constatées à partir de différentes adresses IP non françaises. 

Selon nos informations, l’éditeur en question communique à ses clients une adresse IP publique à partir de laquelle ses collaborateurs sont susceptibles d’utiliser de tels comptes d’accès distant, afin de permettre la mise en place de règles réduisant le risque d’utilisation, par un tiers non autorisé, d’un compte aux identifiants compromis. Et cela y compris en l’absence d’authentification à facteurs multiples (MFA), ce qui était le cas pour ce compte au CHU de Rennes, toujours selon nos sources.

Rien n’indique que l’éditeur ait été lui-même victime d’une intrusion, mais se pose toutefois la question de la manière dont les identifiants associés au compte VPN détourné ont été compromis. À l’heure où prolifèrent les infostealers, ou maliciels dérobeurs, cette piste, difficile à établir, n’est pas à exclure : il n’est pas rare que les identifiants d’un compte de VPN SSL soient enregistrés dans le navigateur Web. Du pain béni pour les cybercriminels.