Publicité en cours de chargement...
Le groupe LockBit publie une partie des données dérobées au CH Sud Francilien
Avec une journée de retard sur la date initialement annoncée, le groupe LockBit a finalement publié le vendredi 23 septembre, ce qui semble n’être qu’une partie des données dérobées au Centre Hospitalier de Corbeil-Essonnes.
Certains annoncent une volonté d’exercer une pression supplémentaire dans ce délai de 24 heures de « répit », vrai ou non, l’infrastructure des attaquants semblait injoignable dans la soirée du 21 septembre en tout cas.
Article connexe → Une tempête de rançongiciels s’abat sur les serveurs VMWare
Comme il est possible de le constater sur le nombre de vues qui ne fait qu’augmenter, cette fuite de données semblent intéresser beaucoup de monde, ce qui n’est pas vraiment étonnant de par l’ampleur médiatique qu’à pris cet incident.
La taille et le nom de l’archive peuvent laisser penser que les attaquants disposent de bien plus de données que ce qu’ils proposent au téléchargement actuellement.
Un fichier nommé « part1 » d’environ 11,7Go, laisse supposer qu’il s’agit que d’un échantillon des données qu’ils détiennent.
Devons-nous attendre un fichier « part2 » prochainement ?
Le but est-il de tenter une nouvelle fois d’accroître la pression sur l’établissement, ou encore de mettre l’eau à la bouche à de potentiels acheteurs, puisque la vente de l’ensemble des données est annoncée à un million de dollars ?
Au-delà d’avoir un porte-monnaie crypto bien fourni et de ne pas craindre d’être condamné pour recel, il ne faut pas être timide pour tenter l’aventure en envoyant un million de dollars de manière anonyme avant même d’être entré en contact avec des personnes dont le quotidien est d’extorquer de l’argent à leurs victimes.
Les données diffusées semblent concerner les patients, le personnel de l’établissement et ses partenaires. Des données à caractère personnel donc et des données de santé indique l’établissement dans son communiqué de presse [1]. Il est également important de noter que le groupe d’attaquants se serait limité au chiffrement des serveurs virtuels de l’établissement et à seulement 10 % de l’espace de stockage de l’établissement. Le communiqué n’indique pas si la volumétrie de données exfiltrées est supérieure à celle des données chiffrées.
On ne peut donc que souhaiter beaucoup de courage aux équipes du CHSF dans cette rude et douloureuse épreuve, croiser les doigts pour que l’impact sur les données des personnes concernées soit limité, pour que le personnel de l’établissement puisse à nouveau travailler dans de bonnes conditions rapidement, et, pourquoi pas, rêver qu’un jour ces criminels soient jugés et condamnés (au sens juridique du terme, au-delà du sens moral comme a pu le faire dans un « tweet » de notre Ministre [2]) pour leurs actions. Après la divulgation la semaine dernière du kit de création de leur outil de chiffrement pour Windows par une personne qui pourrait être un ancien développeur mécontent, croisons les doigts pour qu’ils fassent d’autres erreurs qui pourront un jour peut-être, permettre de les identifier.
Pour rappel, car beaucoup de fausses rumeurs ont circulé sur le sujet, le kit de création de l’outil de chiffrement diffusé publiquement, ne permet pas, en tout cas dans l’état dans lequel il est fourni, de retrouver des données sans disposer de la clé de chiffrement utilisée lors de la compilation des exécutables de chiffrement / déchiffrement.
[1] https://www.chsf.fr/cyberattaque-chsf-communique-de-presse/
[2] https://twitter.com/FrcsBraun/status/1574051317659701248
L'auteur
Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)
Avez-vous apprécié ce contenu ?
A lire également.

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.