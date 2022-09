Écrans noirs, établissement au ralenti, et désormais diffusion de données personnelles. Depuis le 21 août dernier, soit plus d'un mois, le centre hospitalier Sud Francilien de Corbeil-Essonnes est victime d'une cyberattaque. Les pirates demandaient une rançon de 10 millions de dollars, avant de revoir cette somme à la baisse. Date limite pour payer : le 23 septembre. Ce que l'hôpital n'a pas fait. Ils ont donc mis leur menace à exécution. France Inter revient sur cette cyberattaque en six questions.

Que se passe-t-il depuis deux jours ?

Depuis vendredi, comme il menaçait de le faire si l'hôpital ne payait pas la rançon, le groupe de hackers a diffusé environ 12 Go de données personnelles (détenues sur les serveurs de l'hôpital) sur le darknet, zone d'Internet qui abrite notamment des groupes malfaisants. Du darknet, les données pourraient ensuite se retrouver sur les moteurs de recherche, après avoir été captées par d'autres escrocs.

On parle de numéros de téléphone, de mails, mais aussi des données de santé. Le contenu précis de ces données reste à préciser, mais il pourrait s'agir notamment de numéros de sécurité sociale et de "certaines données de santé telles que des comptes-rendus d'examen et en particulier des dossiers externes de radiologie, laboratoires d'analyses, médecins", précise l'établissement dans un communiqué envoyé à l'AFP.

Qui est concerné par la publication de ses données ?

Le centre hospitalier Sud Francilien de Corbeil-Essonnes a précisé, dimanche matin, que les données diffusées sur le darknet "semblent concerner nos usagers, notre personnel ainsi que nos partenaires". L'établissement a prévenu ses patients et son personnel que certaines données risquaient d'être divulguées.

L'hôpital précise également que "les bases de données métiers du CHSF, parmi lesquelles figurent les dossiers personnalisés des patients (DPI) et les dossiers relatifs à la gestion des ressources humaines, n'ont pas été compromises. "L'attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l'espace de stockage du CHSF (environ 10%)", détaille-t-il également.

Pourquoi l'hôpital ne paie pas la rançon ?

Même s'il le voulait, l'hôpital n'a, à priori, pas le droit de payer la rançon. En effet, le centre hospitalier Sud Francilien de Corbeil-Essonnes est un établissement public, et les établissements publics ne paient pas les rançons, la loi le leur interdisant. L'hôpital a porté plainte et saisi la Commission nationale de l'informatique et des libertés et le parquet de Paris a ouvert une enquête, confiée aux gendarmes du C3N, le centre de lutte contre les criminalités numériques. L'Autorité nationale en matière de sécurité et de défense des systèmes d'information a également été saisie.

Quelles conséquences au quotidien pour l'établissement ?

La cyberattaque, qui a débuté le 21 août, a rendu "inaccessibles tous les logiciels métiers, les systèmes de stockage, notamment d’imagerie médicale, et le système ayant trait aux admissions", a déclaré l'hôpital. L'hôpital essonnien a alors déclenché le plan d'urgence "plan blanc" pour assurer la continuité des soins. Pour faire face, "tous les patients instables ayant besoin d’une surveillance accrue ou nécessitant des soins aigus sont transférés" vers d'autres établissements. La configuration des appareils, par exemple de radiologie, n'a pas été impactée, mais les examens doivent désormais se faire manuellement, allongeant les délais de prise en charge.

Comment éviter de nouvelles fuites ?

Pour arrêter les hackers et éviter toute nouvelle fuite de données personnelles, "la meilleure des méthodes sera de les trouver et de les arrêter, donc de bloquer tout leur système informatique" , assure Damien Bancal, le fondateur du site Internet spécialisé Zataz qui a révélé ce dimanche les fuites de ces données. On dénombrait en 2021 380 cyberattaques contre des hôpitaux, selon l'Agence numérique de santé. Un chiffre en forte hausse depuis le début de la crise du Covid .

Qui est ce groupe de hackers ?

Le journaliste et spécialiste en cyberdéfense Damien Bancal, en a dit plus à France Inter sur le groupe de hackers à l'origine de l'attaque : "Ces pirates informatiques, les lockbit 3.0, ont cette technique très claire : on infiltre, on exfiltre et si vous ne payez pas, on trouvera le moyen de gagner de l'argent par cette diffusion d'information, d'abord pour faire peur puis potentiellement pour attirer des acheteurs malveillants."

D'où viennent-ils ? "Lockbit 3.0 se veut de cette zone géographique de l'est de l'Europe", répond Damien Bancal. "Sauf que comme ils l'ont expliqué, ils sont plus d'une centaine et on sait que malheureusement, cette centaine peut être aussi bien belge que française ou canadienne. On est dans une véritable internationalisation de la malveillance", ajoute-t-il. Mais, en fait, "on ne sait pas véritablement à qui on a à faire".