Un établissement de santé finlandais attaqué : des patients rançonnés

L’attaquant, qui se faisait appeler « ransom_man » sur certains forums finlandais disponibles sur le réseau Tor, aurait tout d’abord demandé une rançon de 40 bitcoins (environ 880 000 euros à l’heure où j’écris ces lignes) au groupe Vastaamo pour ne pas diffuser les données de santé des 36 000 patients qu’il lui aurait subtilisées.

L’attaquant a ensuite annoncé sur le forum Torilauta que, n’ayant plus de réponse de la part du directeur du groupe, il avait commencé à publier les informations des patients et qu’il continuerait à les diffuser progressivement.

Le site de l’attaquant est aujourd’hui inaccessible :

Mais la publication des données de santé de 300 patients a été confirmée par Mikko Hyppönen, chercheur en sécurité chez F-Secure [3] :

Le plus inquiétant (oui, c’est possible !) arrive après. Comme il n’avait pas réussi à soutirer de l’argent à l’établissement de santé Vastaamo, l’attaquant a commencé à envoyer des demandes de rançon par courriel directement aux patients concernés ! Ces derniers ont ainsi été priés de payer dans les 24 heures une rançon de 200 euros, dont le montant était porté à 500 euros le jour suivant. À défaut de paiement dans les 48 heures, leurs données seraient publiées.

« Si nous ne recevons pas notre argent après cela, vos informations seront publiées : votre adresse, numéro de téléphone, numéro d’identité personnel, ainsi que votre dossier patient complet, qui comprend par exemple les comptes rendus de vos discussions avec votre thérapeute/psychiatre. »

Ce qui veut dire que les dossiers psychiatriques étaient accompagnés des adresses de messagerie des patients. Je ne voudrais pas être à la place du DPO qui devra se justifier de cette collecte de données.

Peu d’informations ont été communiquées sur l’intrusion – certaines sources parlent d’une compromission qui aurait eu lieu entre novembre 2018 et mars 2019 –, mais un serveur Web tournant sous Ubuntu 16.04, dont l’URL pourrait se traduire par « dossierpatient.vastaamo.fi », a mystérieusement disparu de la surface d’Internet mi-octobre de cette année, même si les ports 80 et 443 répondent toujours.

D’après la capture d’écran ci-dessous qui date de mi-octobre, on constate qu’une version vulnérable de PHP était toujours présente sur ce serveur :

La branche 5.6 n’est plus maintenue depuis le 1^er janvier 2019 et 140 vulnérabilités ont été corrigées depuis lors…

Ce serveur est donc une porte d’entrée probable.

Un dossier patient accessible directement depuis Internet, un serveur Web non patché depuis près de deux ans et un incident critique qui aurait pu être caché par le groupe : cela nous fait un joli cocktail Molotov de mauvaises pratiques…

Au vu de la quantité de données, de leur sensibilité, de leur manque de protection évident et de l’absence de transparence du groupe, la Cnil finlandaise risque bien de ruer dans les brancards…

[1] 

[2] 

[3]