Publicité en cours de chargement...
Une fin de semaine chaude bouillante
La bête, qui appartient à la catégorie des ransomware, fonctionne de la manière suivante. L'utilisateur honnête reçoit un message l'enjoignant à ouvrir soit un fichier PDF (vérolé) soit un lien URL (qui pointe sur un site malveillant) Le clic va vite, aussi vite que le téléchargement, sur le PC de l'utilisateur, d'un programme exécuté en mémoire et qui crypte tout ou partie des répertoires du disque dur, mais aussi potentiellement des partages de fichiers accessibles sur le réseau. Une fois le cryptage réalisé, la seule façon de décrypter – et donc d'accéder à nouveau à ses propres données – est de sortir sa carte bancaire et de verser une rançon.
Cryptolocker n'est pas tout jeune (il est répertorié par la quasi-totalité des antivirus gratuits ou payants du marché) mais il semble que ses dernières mutations l'ont rendu particulièrement difficile à détecter. De plus, l'attaque par messagerie est assez judicieuse : l'utilisateur reçoit un mail concernant une facture à payer. Certes le message est dans un français approximatif, mais qui peut être certain que, sur une population de milliers d'utilisateur, il n'y aura aucun étourdi ?
Jeudi soir, toute la planète sécurité des hôpitaux s'alertait à tout va, à coup de mail, de recommandations, de listes de mesures techniques, de renvois vers les sites des éditeurs d'antivirus tels Microsoft ou Trend sur la conduite à tenir en mode prévention ou décontamination. Certains CHU – dont celui de Nantes – ont même préféré couper carrément la messagerie pour la nuit et ne l'ont réactivé qu'une fois la menace clairement identifiée et l'assurance que les dernière signatures des antivirus prenaient en compte la mutation de Cryptolocker.
Au CHU de Nantes il est prévu une réunion de débriefing sur les enseignements à tirer de cette expérience de crise (qui heureusement n'a fait aucun gros dégât). Tout d'abord, couper la messagerie est plus facile à dire qu'à faire. Entre les passerelles SMTP en DMZ, les serveurs de synchronisation des smartphones, les liens directs avec les équipements internes en mode supervisés, les accès en Webmail (qui passent donc en http mais qui donnent accès à une messagerie externe, donc vecteur d'infection potentielle), il n'est pas du tout évidement de couper le flux des messages. Et c'est encore plus complexe si l'on veut ne couper que les flux entrants et conserver les sortants.
Ensuite, couper la messagerie permet de débusquer les détournements d'usage de celle-ci, à savoir les métiers qui ont, sans en alerter personne, mis en place des processus critiques basés sur l'hypothèse jamais validée par le DSI de la panne zéro de la messagerie. Certes on sait que les flux avec l'EFS sont critiques, mais on a vu apparaître des échanges par mails entre certains services administratifs et des fournisseurs, en mode quasi flux tendus pour les livraisons.
Enfin certains confrères, qui avaient aussi coupé la messagerie, m'ont contacté en me demandant comment réagissait ma direction générale car la leur leur « intimait » l'ordre de rouvrir la messagerie dans les plus brefs délais. Au CHU de Nantes rien de tout cela, la direction générale a parfaitement saisi la menace et a laissé les ingénieurs de la DSI prendre l'ensemble des mesures nécessaires dans le calme, mais je m'interroge sur cette attitude. Est-ce à dire qu'en cas d'alerte NBC (Nucléaire Bactériologique Chimique) – un des rares cas où un CHU peut se trouver en situation de devoir fermer totalement son enceinte physique vis-à-vis de l'extérieur – le même directeur « intimera » au service sécurité l'ordre de lui ouvrir la porte pour aller à une réunion, par exemple à l'ARS ? Si tel est le cas, le directeur en question ferait bien de prendre des cours de secourisme et de sécurité, cela lui fera le plus grand bien.
Ah oui, j'allais oublier le rôle important de Philippe Loudenot, FSSI du ministère. Première crise depuis son arrivée et le moins que l'on puisse dire, c'est qu'il détonne dans le paysage : enfin un FSSI qui communique au plus près et en quasi temps-réel ! Pour mémoire, à l'époque de Conficker les autorités précédentes avaient envoyé des alertes environ un an après la bataille...
Avez-vous apprécié ce contenu ?
A lire également.

Le projet eNovA-Path : une plateforme de numérisation et d’échange des données d’anatomopathologie au service des patients en Nouvelle-Aquitaine
01 juil. 2025 - 00:42,
Actualité
- Propos recueillis par Pauline NicolasLa création d’une plateforme digitale en anatomopathologie entre les trois CHU de Nouvelle-Aquitaine afin d’améliorer la prise en charge des patients et faciliter l’accès aux expertises entre différents établissements de santé reflète l’ambition et les objectifs du projet eNovA-Path qui se déploie a...

Un nouveau Comex pour le Conseil du numérique en santé
30 juin 2025 - 23:46,
Actualité
- Damien Dubois, DSIHLe 24 juin, le 13e Conseil du numérique en santé a réuni l’ensemble des parties prenantes en la matière, dans la perspective notamment de l’Espace européen des données de santé.

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !
23 juin 2025 - 18:14,
Tribune
-Ça fait deux fois.