Attaques crypto : quel niveau d’information pour les décideurs ?

Un cryptolocker est une classe (un genre) de malware, au même titre que les virus, les Trojan, etc. Son mode d’action consiste à chiffrer des données de telle sorte que leur propriétaire initial (qui ne possède pas la clé de chiffrement) n’y a plus accès : les données sont physiquement stockées sur son disque dur, mais il ne peut plus les ouvrir, les consulter, les modifier, etc. Pour y accéder, il faut la clé de chiffrement et, pour l’obtenir, il faut généralement sortir la CB – ou les bitcoins, ce qui revient au même. Pour prendre une image facile à visualiser : un petit malin a mis un sabot sur la roue de votre véhicule pourtant correctement stationné, et vous ne pouvez plus l’utiliser… sauf à débourser pour que le plaisantin en question daigne retirer le sabot. Dans la plupart des cas, l’attaquant exfiltre aussi les données pour effectuer un chantage à la divulgation, mais c’est un autre problème.

Les premiers cryptolockers sont apparus en 2014-2015, mais les versions véritablement méchantes ont surgi en 2017-2018 quand elles ont été capables de chiffrer non seulement les partages de fichiers, mais aussi les bases de données métiers, les sauvegardes, etc. Ces cryptolockers s’inscrivent dans un contexte général d’aggravation notoire du contexte cyber mondial, le nombre d’attaques cyber étant en augmentation constante [1] (+ 255 % entre 2019 et 2021 selon l’Anssi). Ce genre de risque de niveau géopolitique s’inscrit d’ailleurs parfaitement dans la vision de La Guerre hors limites [2], qui théorise la multiplication des zones de conflit, des armes, des motifs, etc.

De plus, les cryptolockers arrivent au sein d’écosystèmes IT beaucoup plus développés qu’il y a quelques décennies ou seulement quelques années. Pour mémoire, en 2008, environ un tiers des CHU avaient été touchés par un virus « classique » (Conficker). À cette époque, votre serviteur officiait au CHU de Rennes, qui avait alors vu environ 30 % de son informatique bloquée pendant quelque trois semaines, sans aucun impact sur la prise en charge médicale, et dans l’indifférence totale des médias : la dépendance au SI était moindre, ceci expliquant cela. La situation a radicalement changé puisque l’on constate maintenant :

• une dépendance accrue des organisations à leur SI (essayez, juste pour rire, de couper la messagerie une demi-journée) ;
• une connectivité croissante des établissements au sein d’un GHT et entre eux en général ;
• des niveaux fortement hétérogènes des établissements au sein d’un même GHT ;
• des choix techniques réalisés il y a dix ans, à l’époque où ce risque n’existait pas, et très difficiles à revoir dans certains cas, en raison de coûts financiers et humains lourds.

N’oublions pas d’autre part que l’attaque d’un gros établissement du GHT peut arriver par un « petit » (qui affiche un niveau de protection moindre) du fait des interconnexions massives. Les impacts potentiels d’une attaque en cryptolocker sont les suivants (liste non exhaustive) :

• blocage de toute l’informatique d’un ou de plusieurs établissements du GHT, et ce quel que soit son hébergement informatique (établissement support ou non) ;
• obligation de couper le SI impacté de ses interconnexions avec les autres établissements du GHT ;
• coupure informatique des équipements biomédicaux connectés, de la GTB/GTC ;
• coupure Internet et donc plus d’accès à l’EFS, plus de messagerie, coupure des flux financiers avec les organismes extérieurs ;
• sur certains établissements, en sus, coupure téléphonique partielle ou totale ;
• incertitude sur les processus administratifs internes : paye, règlement des fournisseurs, etc. ;
• impacts critiques sur la prise en charge (mort d’une patiente en Allemagne [3]) ;
• impacts financiers très élevés : perte d’activité, coûts de reconstruction ;
• dans certains cas, perte de données métiers irrémédiable, impact RGPD ;
• retombées considérables sur l’image dues à une visibilité nationale.

Le risque cyber associé aux cryptolockers est quasiment le seul qui puisse totalement stopper le fonctionnement d’un hôpital pendant plusieurs semaines : même une panne électrique générale dure rarement plus de quelques heures, même une inondation globale ne bloque souvent qu’un site, même un incendie ne touche habituellement – et heureusement – qu’un bâtiment ou un étage. On est sur un risque de classe « Black Swan [4] », ce qui dans la terminologie des experts en gestion des risques signifie probabilité infime, mais impact infini.

Clairement, les cryptolockers constituent certainement l’une des pires cochonneries que le monde IT ait jamais créées et, quand ils nous tombent dessus, non seulement il n’existe quasiment aucun moyen de réparer les dégâts mais en plus il est probable que les attaques de ce genre se multiplient dans la mesure où elles constituent l’arme du pauvre : il est nettement plus simple et moins coûteux pour le dictateur d’un pays voyou de recruter une bande de hackers chevronnés pour aller bloquer les entreprises et administrations d’un ennemi situé à 8 000 kilomètres que de développer une bombe H.

En gros, on ne dispose que de deux « barrières » à ce jour : sécuriser les systèmes cibles potentiellement dans la ligne de mire des attaquants et mettre en place des dispositifs pour que, le jour où vous serez touché, la reconstruction de votre SI soit possible et réalisable en un temps maîtrisable. Ces dispositifs sont pour partie techniques (logiciels, serveurs), pour partie organisationnels (revue de compte, cellule de crise, etc.), et actuellement on n’a rien de mieux en magasin.

[1]   https://www.cyberveille-sante.gouv.fr/cyberveille/2363-anssi-etat-de-la-menace-rancongiciels-lencontre-des-entreprises-et-des 

[2]   Liang Qiao, Xiangsui Wang, Payot, 2003.

[3]   https://www.ouest-france.fr/europe/allemagne/allemagne-une-cyberattaque-contre-une-clinique-provoque-la-mort-d-une-patiente-6979361 

[4]   Le Cygne noir, Nassim Nicholas Taleb, Les Belles Lettres, 2012.