Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Une fin de semaine chaude bouillante

01 déc. 2014 - 10:10,
Tribune - Cédric Cartau
Cette fin de semaine a été marquée par une déferlante sans précédent d'alertes au malware Cryptolocker.

La bête, qui appartient à la catégorie des ransomware, fonctionne de la manière suivante. L'utilisateur honnête reçoit un message l'enjoignant à ouvrir soit un fichier PDF (vérolé) soit un lien URL (qui pointe sur un site malveillant) Le clic va vite, aussi vite que le téléchargement, sur le PC de l'utilisateur, d'un programme exécuté en mémoire et qui crypte tout ou partie des répertoires du disque dur, mais aussi potentiellement des partages de fichiers accessibles sur le réseau. Une fois le cryptage réalisé, la seule façon de décrypter – et donc d'accéder à nouveau à ses propres données – est de sortir sa carte bancaire et de verser une rançon.

Cryptolocker n'est pas tout jeune (il est répertorié par la quasi-totalité des antivirus gratuits ou payants du marché) mais il semble que ses dernières mutations l'ont rendu particulièrement difficile à détecter. De plus, l'attaque par messagerie est assez judicieuse : l'utilisateur reçoit un mail concernant une facture à payer. Certes le message est dans un français approximatif, mais qui peut être certain que, sur une population de milliers d'utilisateur, il n'y aura aucun étourdi ?

Jeudi soir, toute la planète sécurité des hôpitaux s'alertait à tout va, à coup de mail, de recommandations, de listes de mesures techniques, de renvois vers les sites des éditeurs d'antivirus tels Microsoft ou Trend sur la conduite à tenir en mode prévention ou décontamination. Certains CHU – dont celui de Nantes – ont même préféré couper carrément la messagerie pour la nuit et ne l'ont réactivé qu'une fois la menace clairement identifiée et l'assurance que les dernière signatures des antivirus prenaient en compte la mutation de Cryptolocker.

Au CHU de Nantes il est prévu une réunion de débriefing sur les enseignements à tirer de cette expérience de crise (qui heureusement n'a fait aucun gros dégât). Tout d'abord, couper la messagerie est plus facile à dire qu'à faire. Entre les passerelles SMTP en DMZ, les serveurs de synchronisation des smartphones, les liens directs avec les équipements internes en mode supervisés, les accès en Webmail (qui passent donc en http mais qui donnent accès à une messagerie externe, donc vecteur d'infection potentielle), il n'est pas du tout évidement de couper le flux des messages. Et c'est encore plus complexe si l'on veut ne couper que les flux entrants et conserver les sortants.

Ensuite, couper la messagerie permet de débusquer les détournements d'usage de celle-ci, à savoir les métiers qui ont, sans en alerter personne, mis en place des processus critiques basés sur l'hypothèse jamais validée par le DSI de la panne zéro de la messagerie. Certes on sait que les flux avec l'EFS sont critiques, mais on a vu apparaître des échanges par mails entre certains services administratifs et des fournisseurs, en mode quasi flux tendus pour les livraisons.

Enfin certains confrères, qui avaient aussi coupé la messagerie, m'ont contacté en me demandant comment réagissait ma direction générale car la leur leur « intimait » l'ordre de rouvrir la messagerie dans les plus brefs délais. Au CHU de Nantes rien de tout cela, la direction générale a parfaitement saisi la menace et a laissé les ingénieurs de la DSI prendre l'ensemble des mesures nécessaires dans le calme, mais je m'interroge sur cette attitude. Est-ce à dire qu'en cas d'alerte NBC (Nucléaire Bactériologique Chimique) – un des rares cas où un CHU peut se trouver en situation de devoir fermer totalement son enceinte physique vis-à-vis de l'extérieur – le même directeur « intimera » au service sécurité l'ordre de lui ouvrir la porte pour aller à une réunion, par exemple à l'ARS ? Si tel est le cas, le directeur en question ferait bien de prendre des cours de secourisme et de sécurité, cela lui fera le plus grand bien.

Ah oui, j'allais oublier le rôle important de Philippe Loudenot, FSSI du ministère. Première crise depuis son arrivée et le moins que l'on puisse dire, c'est qu'il détonne dans le paysage : enfin un FSSI qui communique au plus près et en quasi temps-réel ! Pour mémoire, à l'époque de Conficker les autorités précédentes avaient envoyé des alertes environ un an après la bataille...

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

13 oct. 2025 - 19:56,

Communiqué

- CHU de Reims

Le Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Illustration Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?

Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?

13 oct. 2025 - 10:01,

Actualité

- Rédaction, DSIH

À l’occasion de la Fête de la science, l’Espace Mendès France de Poitiers a récemment accueilli une conférence passionnante consacrée à l’intelligence artificielle (IA) en santé. Intitulée « Intelligence artificielle en santé, entre progrès technologique et éthique : où en est-on ? », cette rencontr...

Illustration Fraudes à la e-CPS et à ProSantéConnect : l’alerte de l’ANS rappelle l’importance de la vigilance numérique

Fraudes à la e-CPS et à ProSantéConnect : l’alerte de l’ANS rappelle l’importance de la vigilance numérique

13 oct. 2025 - 09:46,

Actualité

- Rédaction, DSIH

L’Agence du Numérique en Santé (ANS) a récemment signalé plusieurs tentatives de fraude visant l’application e-CPS et le portail ProSantéConnect (PSC). Ces attaques, fondées sur des techniques d’ingénierie sociale, consistent à se faire passer pour le « service client CPS » afin d’obtenir des codes ...

Illustration Quand les AirTag sont au centre des débats : les tartuferies d’une direction d’école

Quand les AirTag sont au centre des débats : les tartuferies d’une direction d’école

13 oct. 2025 - 09:10,

Tribune

-
Cédric Cartau

Étonnant que l’info n’ait pas plus fait le buzz, mais on apprend que, dans le Var, un papa avait placé dans le sac de son fils en primaire un traceur GPS pour une sortie de classe.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.