Ils ont mis leur menace à exécution. Les pirates responsables de la cyberattaque de l’hôpital de Corbeil-Essonnes ont commencé à diffuser des données vendredi, a indiqué dimanche une source proche du dossier. Les données divulguées « semblent concerner » les utilisateurs, le personnel et les partenaires, mais leur nature n’a pas été précisée.
« Je condamne avec la plus grande fermeté l’indicible divulgation de données piratées du centre hospitalier de Corbeil-Essonnes », a déclaré le ministre de la Santé François Braun dans un tweet. « Nous ne céderons pas à ces criminels. Tous les services de l’Etat sont mobilisés « ainsi que l’hôpital », a-t-il ajouté.
Je condamne dans les termes les plus forts la divulgation indescriptible de données piratées par @CHSF91. Nous ne céderons pas à ces criminels. Tous les services de l’Etat sont mobilisés ainsi que le Centre Hospitalier Francilien du Sud à Corbeil-Essonnes.
Parmi ces données figurent « certaines données administratives », dont le numéro de sécurité sociale, et « certaines données de santé comme des rapports d’examens et notamment des fichiers externes d’anatomocytopathologie, de radiologie, des laboratoires d’analyses, des médecins », a poursuivi le centre hospitalier.
« Les bases de données commerciales du CHSF, qui comprennent les dossiers patients personnalisés (DPI) et les fichiers liés à la gestion des ressources humaines, n’ont pas été compromises », a indiqué l’établissement dans son communiqué.
Les pirates ont initialement exigé une rançon de 10 millions de dollars, réduite par la suite à 1 million de dollars, que le Centre hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes a refusé de payer. Ils avaient fixé un ultimatum à l’hôpital pour payer la rançon le 23 septembre. Le délai expiré, ils ont publié une série de données, a ajouté la source proche du dossier qui confirme une information du site spécialisé Zataz.
Près de 2800 personnes ont déjà consulté les données
Selon Zataz, les pirates de Lockbit 3.0 ont divulgué plus de 11,7 Go de contenu sensible. « A ce jour, 2 797 personnes ont déjà consulté ces données. Parmi ces personnes, malheureusement, il y a de fortes chances qu’il s’agisse de petits pirates, divers et variés, qui vont collecter des téléphones, des mails, voire d’autres informations pour les utiliser dans d’autres arnaques », explique au Parisien Damien Bancal, spécialiste de la cyberintelligence et fondateur de ‘Zataz.
« Il s’agit d’une double extorsion, qui consiste à exfiltrer une partie des données volées pour faire pression sur les victimes. C’est un classique », explique à l’AFP un spécialiste du cyberespace.
Le risque est désormais que les escrocs utilisent les données accessibles pour lancer de nouvelles attaques ciblées, en utilisant les informations personnelles à leur disposition pour gagner la confiance de la victime. Les agresseurs, par exemple, vont chercher « des patrons, des personnalités importantes », et mettre en place des arnaques comme « escroquerie au président », où l’escroc parvient à obtenir un virement bancaire d’une institution en se faisant passer pour son dirigeant ou ses finances. . réalisateur, explique Damien Bancal.
Les attaquants peuvent également utiliser des numéros de téléphone pour mettre en place des escroqueries de compte personnel de formation (CPF) ou de crypto-monnaie, des adresses e-mail pour faire du « phishing », inciter l’internaute à télécharger des fichiers malveillants ou cliquer sur des liens pour remplacer les identifiants et les codes d’accès…).
Dans son communiqué, le centre hospitalier de Corbeil-Essonnes a rappelé plusieurs mesures de sécurité à respecter par les personnes potentiellement concernées. Dans le cas où vous recevriez un email, un SMS, ou un appel téléphonique demandant telle ou telle action de la part de l’utilisateur, il faut « vérifier que l’expéditeur est bien légitime et en rapport avec le sujet » et « ne jamais fournir d’informations confidentielles (services bancaires , mots de passe, etc.).
Vous devez « être vigilant si le ton du message est urgent, ce qui vous pousse à l’action, encore plus si vous ne vous attendiez pas à ce message », a également indiqué l’hôpital. Il recommande également de « vérifier les comptes associés » à un numéro de sécurité sociale et de changer les mots de passe « en cas de doute ».
Enquête ouverte
Le parquet de Paris confirme de son côté que « le groupe Lockbit a publié vendredi un lien qui, selon lui, permet d’accéder aux données de l’hôpital de Corbeil-Essonnes. « Cependant, à ce stade de l’analyse des éléments en possession des services d’enquête, il n’est pas possible » d’accéder facilement aux données, a précisé le parquet.
Selon Zataz, les hackers réclament désormais à l’hôpital « 2 millions de dollars (1 million pour détruire les données volées et un million pour restaurer l’accès aux informations via leur logiciel dédié) ».
« Ces données ont été volées depuis longtemps maintenant. Nous savons maintenant que ces pirates ont trié, analysé et traité ces données. Ce qui m’émeut le plus, c’est que depuis la diffusion des premières informations sur les menaces de Corbeil-Essonnes, une quinzaine d’entreprises françaises – dont la moitié étaient des sociétés de santé – ont motivé les pirates. On ne sait pas pourquoi », déplore Damien Bancal.
Cet hôpital situé dans le sud de Paris, qui assure une couverture santé à près de 700 000 habitants de la grande couronne, a été victime d’une cyberattaque le 21 août. Son logiciel de gestion, ses systèmes de stockage et son système d’information sur les admissions des patients étaient devenus inaccessibles.
L’hôpital a alors porté plainte et saisi la Commission nationale de l’informatique et des libertés (CNIL). L’enquête, ouverte par le parquet de Paris et confiée aux gendarmes du Centre de lutte contre la délinquance numérique (C3N), est en cours. L’Autorité nationale de sécurité et de défense des systèmes d’information (Anssi) a également été interpellée.
Mais « malgré ces mesures et cette réponse, les pirates ont quand même réussi à exfiltrer des données personnelles, dont des données de santé », déplorait mi-septembre l’hôpital dans un communiqué.