Publicité en cours de chargement...
Cryptolockers et métaphysique de la communication utilisateur
Rappelons le principe des cryptolockers, pour ceux qui auraient pris 13 mois de vacances sur une île déserte sans accès au Web. Un cryptolocker est un programme de la classe des malwares, qui se propage essentiellement par les pièces jointes des messageries, et qui chiffre tout ou partie des données utilisateurs. Une fois les données chiffrées et rendues inintelligibles, il faut quémander la clé de déchiffrement auprès du (des) pirate(s), qui en retour sollicite(nt) une généreuse contribution financière en dollars sonnants et trébuchants, quoique plus souvent sous la forme de bitcoins (intraçables).
Plusieurs établissements de santé ont eu à subir ce type d’attaques, mais jusqu’à présent les dégâts ont été contenus : les cryptolockers ne savent chiffrer que les disques durs locaux des PC (sur lesquels, en principe, une charte utilisateur bien léchée stipule qu’il ne faut rien stocker). Dans quelques cas ont été observés des chiffrements de répertoires réseau pour lesquels la parade ultime est la sauvegarde : au pire, on restaure la sauvegarde de la veille, et la question est réglée. Encore faut-il disposer de sauvegardes, qu’elles soient actualisées, que le système de sauvegarde lui-même ne soit pas corrompu, etc.
Ces derniers jours, on a pu lire le cas d’un hôpital américain dont l’intégralité du SI a été bloquée par un malware (voir le site de Zataz[1]). Le fait est que la presse donne peu de détails sur cette attaque – nous le signalions récemment sur ce même site[2] –, notamment sur le mécanisme technique par lequel un cryptolocker, censé chiffrer les données de bureautique, a pu paralyser le SI d’un établissement de santé dans sa totalité.
Dans l’un des derniers numéros du podcast No Limit Secu[3], qui est en général bien informé sur ce type d’incidents, les intervenants avouaient eux aussi leur méconnaissance du mode précis d’attaque. Mais c’est une autre remarque qui a retenu mon attention : si un journaliste faisait observer qu’il est essentiel de propager la bonne parole auprès des utilisateurs, à savoir ne pas ouvrir les pièces jointes des expéditeurs inconnus (partant du fait que les cryptolockers s’infiltrent essentiellement par le biais de macros incluses dans des fichiers bureautiques), un autre journaliste affirmait avec force son désaccord.
Selon lui, quel RSSI peut raisonnablement être persuadé que, sur une population de plusieurs centaines ou milliers d’utilisateurs, aucun d’entre eux ne cliquera jamais sur le mauvais mail ou la mauvaise pièce jointe ? Je n’avais jamais entendu ce point de vue, mais, à la réflexion, toutes les campagnes de sensibilisation du monde n’y changeront rien : quand des mails infectés, prétextant une facture à payer, transportent des malwares, je vois mal en effet comment expliquer à un service comptable de ne pas ouvrir de tels mails. Diantre, des messages – sains –, les agents comptables en reçoivent par dizaines chaque jour ! Compter sur leur présence d’esprit, c’est oublier que leur métier consiste à traiter des pièces comptables, pas à jouer les limiers.
D’ailleurs, quelle industrie lancerait sur le marché un produit affligé d’une fonctionnalité dangereuse et compterait sur la sagacité des utilisateurs pour ne pas l’activer ? Comment imaginer qu’un constructeur automobile pourrait installer un bouton de siège éjectable sur le tableau de bord des véhicules de sa gamme, et s’abriter derrière le manuel utilisateur en stipulant QU’IL NE FAUT SURTOUT PAS y toucher ?
Les utilisateurs doivent pouvoir surfer et ouvrir des mails ou des pièces jointes en toute sécurité, point barre. Je suis étonné que personne ne fustige les éditeurs d’antivirus pour ne pas être en mesure d’inclure dans leurs produits une fonction simple (à activer ou non par la DSI) qui permettrait de supprimer, sur les passerelles SMTP et sur les serveurs, les pièces jointes entrantes ou les fichiers comportant des macros. Certes aucun antivirus n’est parfait : que l’on se base sur l’analyse comportementale ou sur une base de signature, la raquette est forcément trouée. Il n’en reste pas moins que la détection des pièces jointes à exclure impérativement fait selon moi partie du b.a.-ba.
[2] /article/1861/info-flash-un-hopital-americain-cible-de-hackers.html
Avez-vous apprécié ce contenu ?
A lire également.

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients
13 oct. 2025 - 19:56,
Communiqué
- CHU de ReimsLe Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?
13 oct. 2025 - 10:01,
Actualité
- Rédaction, DSIHÀ l’occasion de la Fête de la science, l’Espace Mendès France de Poitiers a récemment accueilli une conférence passionnante consacrée à l’intelligence artificielle (IA) en santé. Intitulée « Intelligence artificielle en santé, entre progrès technologique et éthique : où en est-on ? », cette rencontr...

Fraudes à la e-CPS et à ProSantéConnect : l’alerte de l’ANS rappelle l’importance de la vigilance numérique
13 oct. 2025 - 09:46,
Actualité
- Rédaction, DSIHL’Agence du Numérique en Santé (ANS) a récemment signalé plusieurs tentatives de fraude visant l’application e-CPS et le portail ProSantéConnect (PSC). Ces attaques, fondées sur des techniques d’ingénierie sociale, consistent à se faire passer pour le « service client CPS » afin d’obtenir des codes ...

Quand les AirTag sont au centre des débats : les tartuferies d’une direction d’école
13 oct. 2025 - 09:10,
Tribune
-Étonnant que l’info n’ait pas plus fait le buzz, mais on apprend que, dans le Var, un papa avait placé dans le sac de son fils en primaire un traceur GPS pour une sortie de classe.