Le groupe cybercriminel Lockbit a finalement mis ses menaces à exécution et commencé à diffuser, vendredi 23 septembre, les données que des pirates ont dérobées un mois plus tôt à l’hôpital de Corbeil-Essonne, au cours d’une attaque informatique qui avait fortement perturbé l’activité de l’établissement de santé.
Selon les constatations du Monde, le groupe, dont certains membres sont soupçonnés d’opérer depuis la Russie, a mis à disposition sur son site une archive de plus de 11 gigaoctets (Go), affirmant qu’elle contenait des documents confidentiels provenant de l’hôpital.
Que contiennent les données diffusées ?
Dans un communiqué publié dimanche 25 septembre, le CHSF confirme que les cybercriminels du groupe Lockbit ont diffusé les données volées lors de la cyberattaque. Le groupement hospitalier explique que les éléments diffusés concernent des usagers, des membres du personnel et des partenaires de l’hôpital. Plus précisément, l’établissement estime que « certaines de données administratives dont le NIR (numéro de sécurité sociale) et de données santé telles que des comptes rendus d’examen » font partie des documents diffusés par le groupe cybercriminel. Le communiqué précise néanmoins que « les bases de données métiers du centre hospitalier Sud-Francilien (CHSF) parmi lesquelles figurent les dossiers personnalisés des patients (DPI) et les dossiers relatifs à la gestion des ressources humaines n’ont pas été compromises ».
Sur le site de Lockbit, une archive compressée de plus de 11 Go a bien été mise en ligne et est proposée au téléchargement, mais les données sont difficilement accessibles, les serveurs utilisés par le groupe pour les héberger n’offrant pas la possibilité de les télécharger rapidement. Il est donc compliqué, pour l’instant, de vérifier de façon indépendante le contenu exact des données diffusées par les pirates.
Que peuvent en faire les pirates ?
Dans certains cas, les données volées peuvent contenir des mots de passe d’internautes, qui peuvent alors servir à pirater leur boîte e-mail ou d’autres comptes, si le même sésame a été utilisé sur plusieurs services.
Mais dans la majorité des cas, les fuites de données personnelles ont avant tout un intérêt pour les pirates qui souhaitent les utiliser ensuite dans des campagnes d’hameçonnage (« phishing ») et de piratage de comptes sensibles. Le danger pour les victimes de ces vols de données persiste alors dans les mois et les années qui suivent : des informations comme les nom, prénom, numéro de sécurité sociale, numéro de téléphone et adresse e-mail, par exemple, peuvent en effet se retrouver compilées dans des bases de données plus larges revendues ou distribuées sur le marché noir.
Par la suite, ces informations sont notamment utilisées pour perfectionner les campagnes de phishing et rendre plus crédible un faux mail de l’Assurance-maladie, par exemple, ou d’une banque. Les comptes Ameli ont été, ces derniers temps, particulièrement visés par ce type de campagne, notamment parce que les pirates cherchent à utiliser cet accès initial pour se connecter au compte personnel de formation (CPF) des internautes ciblés.
Cette fuite est-elle d’une ampleur inédite ?
Sur les 700 000 habitants dont l’hôpital de Corbeil-Essonnes assure la couverture sanitaire, il est difficile à l’heure actuelle de savoir le nombre exact de patients concernés, mais l’établissement « est pleinement mobilisé pour informer individuellement les patients ainsi que les membres de son personnel concerné », assure à l’Agence France-Presse (AFP) l’entourage du ministre de la santé, François Braun.
Reste que cette diffusion de données volées est loin d’être la première : depuis plusieurs années, les fuites affectant le secteur français de la santé se sont multipliées. En février 2021, par exemple, un internaute a diffusé en accès libre, sur un forum de discussion désormais fermé, un fichier contenant les données de 500 000 citoyens français ayant passé des examens dans plusieurs laboratoires au cours des derniers mois. Le document rassemblait des données personnelles, des numéros de sécurité sociale ainsi que des informations de santé sensibles, liées aux traitements ou aux pathologies des personnes recensées par le fichier. L’affaire avait notamment conduit la CNIL à sanctionner l’éditeur de logiciels Dedalus, reconnu coupable d’avoir insuffisamment sécurisé les outils proposés aux laboratoires de santé. Mais la personne ayant exploité ces failles pour récupérer les données n’a pas été arrêtée.
En septembre 2021, les hôpitaux de l’Assistance publique-Hôpitaux de Paris (AP-HP) ont signalé une fuite de données concernant près de 1,4 million de personnes. Cette fuite remontait au milieu de l’année 2020 et concernait des personnes ayant passé un test de dépistage du Covid-19 dans les locaux de l’AP-HP. Les équipes de l’hôpital ont détecté le problème et ont prévenu les utilisateurs affectés, mais le fichier contenant les données n’a pas été diffusé directement en ligne. Quelques jours après l’annonce du vol, un suspect a été arrêté dans le cadre de cette affaire et mis en examen.
Qu’est-ce que la « double extorsion » employée par les pirates ?
Ce que l’on appelle la « double extorsion », le fait d’exfiltrer des données et de menacer de les publier pour faire pression sur ses victimes, est une méthode apparue au cours des trois dernières années qui a mis du temps à être adoptée par tous les groupes pratiquant le rançongiciel. De nombreux hôpitaux et établissements de santé français ont ainsi été frappés par des attaques par rançongiciel sans que cela donne lieu à une diffusion de données confidentielles, comme dans le cas de Corbeil-Essonnes.
Le groupe Clop, par exemple, soupçonné d’avoir attaqué le CHU de Rouen en 2019, ne semble pas avoir publié de données sur son site à l’époque. Il en va de même pour le centre hospitalier de Dax et l’hôpital de Villefranche-sur-Saône, tous deux attaqués par un groupe connu sous le nom de Ryuk.
Des données volées au groupement hospitalier de territoire Cœur-Grand-Est avaient, en revanche, bien été mises en vente en avril, après une attaque par rançongiciel. Vice Society, un groupe cybercriminel connu pour pratiquer la double extorsion, est également soupçonné d’avoir attaqué un hôpital d’Ajaccio en mars et l’hôpital d’Arles en 2021. Les différents sites du groupe de pirates étant inaccessibles, le Monde n’a toutefois pas pu confirmer si des données volées avaient été publiées.