Des cyberattaques multiformes et mutantes
Deux ans après l’arrivée de la pandémie, la cybercriminalité a fortement augmenté, en lien notamment avec l’essor du travail à distance. Pour la santé, l’Agence nationale du numérique en santé (ANS) en fait le constat dans son observatoire annuel pour 2021. Et 2022 a vu une augmentation de l’incidence des ransomwares (rançongiciels), mais aussi de l’impact du cryptomining.
Vous ouvrez sans trop y penser la pièce jointe d’un mail. Immédiatement, les données de votre poste de travail, voire de votre serveur ou de tout votre système sont cryptées. Vous êtes victime d’un ransomware (logiciel de rançon), dont la santé est une cible privilégiée dans le monde, la France étant entrée dans le top 10 des pays les plus touchés.
Ransomwares et hacking social toujours en pointe
Leur circulation est massive. Sodinobiki, Revil, Cuba, Ryuk, Avaddon, Ranzylock, Apocalypse, Pysa, Conti, Real, BlackCat, Cryptowall… La litanie des surnoms de ransomwares identifiés comme cybermenaces en 2021 par l’ANS dans son “Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé” est éloquente. S’y ajoutent les doux noms de chiffrements pirates (BitLocker, BestCrypt…), ou encore (forte tendance émergente en 2022) des cryptovirus ou “cryptominers” comme Wannamine ou Lockbit. L’ANS note de nombreux incidents majeurs liés à des attaques par rançongiciel, mais aussi à l’exfiltration massive de données et un doublement des déclarations d’incidents par rapport à 2020.
Les techniques classiques d’attaques restent l’hameçonnage (phishing), la compromission de systèmes d’information (SI), l’exploitation de vulnérabilités sur des équipements non mis à jour et le “screening” d’un grand nombre de mots de passe (“attaque par force brute”). Avec une variabilité dans les attaques qui peut évoluer d’un mois à l’autre, comme le montre l’Observatoire de l’ANS. S’y ajoute le “hacking social” (ingénierie sociale) : un mail, un coup de fil d’un soi-disant fournisseur… pousse à une action qui va compromettre le SI (divulgation de mot de passe, démarche non sécurisée…).
Rançons, vente de données, abonnements : un business model diversifié
Les pirates vont aujourd’hui jusqu’à utiliser des “deepvoices” (applicatifs basés sur l’IA imitant une voix connue de façon convaincante), sans compter des complicités (fréquentes) à l’intérieur même de la structure. Les fuites de données sont le plus souvent dues à des vols d’identifiants d’accès à distance et de messageries, parfois à un vol d’équipement.
Dans certains cas, une rançon est demandée pour pouvoir recouvrer l’usage du SI. Même si à ce jour, aucun établissement de santé français n’a eu à payer, grâce notamment à l’appui dans les cas les plus sensibles du CERT Santé (service d’assistance rattaché à l’ANS) et de l’Agence nationale de sécurité des systèmes d’information (ANSSI). Dans d’autres cas, les données sont monnayées sur le darknet. Un business model RaaS (“Ransomware as a Service”) s’est aussi développé : des “affiliés” payent les pirates pour lancer des attaques, jusqu’à proposer des abonnements mensuels (de 40 dollars à plusieurs milliers de dollars), auxquels peut s’ajouter un pourcentage des bénéfices de la vente de données au profit du développeur (sur une rançon moyenne de 6 millions de dollars en 2021).
Nouvelle cybertendance : le minage pirate de cryptomonnaies
Une nouvelle tendance est en plein boum en 2022 : le déploiement de logiciels pour générer de la cryptomonnaie (le cryptojacking), ce qui ralentit vos SI. Souvent en scannant Internet à la recherche de serveurs cloud à pirater, exposés en ligne sans mot de passe (par exemples des API, ces mécanismes qui permettent à deux composants logiciels de communiquer entre eux). Selon une étude menée sur un an par la société Aqua Security (sur 16371 attaques tous secteurs confondus), la grande majorité des pirates informatiques ciblent depuis trois ans les infrastructures cloud dans ce but, plutôt que dans celui d’exfiltrer des informations ou lancer des attaques par déni de service. Contrairement aux ransomwares, le cryptojacking capitalise sur la discrétion.
Mais la dernière évolution du phénomène consiste à réaliser du minage tout en dérobant des données et/ou en volant des identifiants qui peuvent être vendus au marché noir. C’est par exemple le cas avec Emotet, utilisé à l’origine dans le domaine bancaire et désormais aussi dans la santé, parfois associé à d’autres logiciels malveillants comme TrickBot, vecteur de rançongiciels.
Face à la multiplication de ces menaces, la France a défini depuis six ans un plan de sauvegarde pour les établissements de santé, et préconise des mesures de prévention et d’action en cas d’attaques, même si le risque zéro n’existe pas.
Sources :
Agence du numérique en santé. Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé. Avril 2022
https://esante.gouv.fr/sites/default/files/media_entity/documents/mss_ans_rapport_public_observatoire_signalements_issis_2021_vf.pdf