Publicité en cours de chargement...

Publicité en cours de chargement...

Une fin de semaine chaude bouillante

01 déc. 2014 - 10:10,
Tribune - Cédric Cartau
Cette fin de semaine a été marquée par une déferlante sans précédent d'alertes au malware Cryptolocker.

La bête, qui appartient à la catégorie des ransomware, fonctionne de la manière suivante. L'utilisateur honnête reçoit un message l'enjoignant à ouvrir soit un fichier PDF (vérolé) soit un lien URL (qui pointe sur un site malveillant) Le clic va vite, aussi vite que le téléchargement, sur le PC de l'utilisateur, d'un programme exécuté en mémoire et qui crypte tout ou partie des répertoires du disque dur, mais aussi potentiellement des partages de fichiers accessibles sur le réseau. Une fois le cryptage réalisé, la seule façon de décrypter – et donc d'accéder à nouveau à ses propres données – est de sortir sa carte bancaire et de verser une rançon.

Cryptolocker n'est pas tout jeune (il est répertorié par la quasi-totalité des antivirus gratuits ou payants du marché) mais il semble que ses dernières mutations l'ont rendu particulièrement difficile à détecter. De plus, l'attaque par messagerie est assez judicieuse : l'utilisateur reçoit un mail concernant une facture à payer. Certes le message est dans un français approximatif, mais qui peut être certain que, sur une population de milliers d'utilisateur, il n'y aura aucun étourdi ?

Jeudi soir, toute la planète sécurité des hôpitaux s'alertait à tout va, à coup de mail, de recommandations, de listes de mesures techniques, de renvois vers les sites des éditeurs d'antivirus tels Microsoft ou Trend sur la conduite à tenir en mode prévention ou décontamination. Certains CHU – dont celui de Nantes – ont même préféré couper carrément la messagerie pour la nuit et ne l'ont réactivé qu'une fois la menace clairement identifiée et l'assurance que les dernière signatures des antivirus prenaient en compte la mutation de Cryptolocker.

Au CHU de Nantes il est prévu une réunion de débriefing sur les enseignements à tirer de cette expérience de crise (qui heureusement n'a fait aucun gros dégât). Tout d'abord, couper la messagerie est plus facile à dire qu'à faire. Entre les passerelles SMTP en DMZ, les serveurs de synchronisation des smartphones, les liens directs avec les équipements internes en mode supervisés, les accès en Webmail (qui passent donc en http mais qui donnent accès à une messagerie externe, donc vecteur d'infection potentielle), il n'est pas du tout évidement de couper le flux des messages. Et c'est encore plus complexe si l'on veut ne couper que les flux entrants et conserver les sortants.

Ensuite, couper la messagerie permet de débusquer les détournements d'usage de celle-ci, à savoir les métiers qui ont, sans en alerter personne, mis en place des processus critiques basés sur l'hypothèse jamais validée par le DSI de la panne zéro de la messagerie. Certes on sait que les flux avec l'EFS sont critiques, mais on a vu apparaître des échanges par mails entre certains services administratifs et des fournisseurs, en mode quasi flux tendus pour les livraisons.

Enfin certains confrères, qui avaient aussi coupé la messagerie, m'ont contacté en me demandant comment réagissait ma direction générale car la leur leur « intimait » l'ordre de rouvrir la messagerie dans les plus brefs délais. Au CHU de Nantes rien de tout cela, la direction générale a parfaitement saisi la menace et a laissé les ingénieurs de la DSI prendre l'ensemble des mesures nécessaires dans le calme, mais je m'interroge sur cette attitude. Est-ce à dire qu'en cas d'alerte NBC (Nucléaire Bactériologique Chimique) – un des rares cas où un CHU peut se trouver en situation de devoir fermer totalement son enceinte physique vis-à-vis de l'extérieur – le même directeur « intimera » au service sécurité l'ordre de lui ouvrir la porte pour aller à une réunion, par exemple à l'ARS ? Si tel est le cas, le directeur en question ferait bien de prendre des cours de secourisme et de sécurité, cela lui fera le plus grand bien.

Ah oui, j'allais oublier le rôle important de Philippe Loudenot, FSSI du ministère. Première crise depuis son arrivée et le moins que l'on puisse dire, c'est qu'il détonne dans le paysage : enfin un FSSI qui communique au plus près et en quasi temps-réel ! Pour mémoire, à l'époque de Conficker les autorités précédentes avaient envoyé des alertes environ un an après la bataille...

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

Illustration IA et santé : la FHF publie un livre blanc stratégique pour structurer l’innovation

IA et santé : la FHF publie un livre blanc stratégique pour structurer l’innovation

05 sept. 2025 - 11:15,

Actualité

- DSIH

Le 3 septembre 2025, la Fédération Hospitalière de France (FHF) a dévoilé son livre blanc « L’IA en santé : qui est le maître ? – Ambitions et perspectives ». Ce document analyse les usages actuels de l’intelligence artificielle dans les établissements publics et propose une feuille de route pour un...

PSSI et Care D2 : suite de la réflexion sur la question de la signature

01 sept. 2025 - 22:56,

Tribune

-
Cédric Cartau

Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

Illustration L’IA au service des soignants et des patients à l’hôpital Foch

L’IA au service des soignants et des patients à l’hôpital Foch

01 sept. 2025 - 22:24,

Actualité

- Damien Dubois, DSIH

L’hôpital Foch continue sa transformation et intègre l’IA de manière concrète et progressive au sein de ses différents services, en partenariat avec des start-up et des acteurs clés du secteur.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.