Recevez chaque jour toute l'actualité du numérique

x

La cyberattaque du CHU de Rouen serait bien d'origine criminelle

D'après un rapport de l'ANSSI, l'attaque informatique du CHU de Rouen a été commise par le groupe cybercriminel TA505 grâce au rançongiciel "Clop". Les autorités manquent encore d'informations, mais l'enquête ouverte par le parquet de Paris devrait pouvoir apporter des réponses.  
Twitter Facebook Linkedin Flipboard Email
×

La cyberattaque du CHU de Rouen serait bien d'origine criminelle
La cyberattaque du CHU de Rouen serait bien d'origine criminelle © Creative Commons/ CC BY-NC-SA 2.0

Une cyberattaque s'est produite le vendredi 15 novembre 2019 au Centre universitaire hospitalier (CHU) de Rouen. Deux semaines plus tard, les choses semblent s'éclaircir tout doucement sur cet événement qui a exigé "l'arrêt de l'ensemble des systèmes informatiques", sans pour autant "mettre en péril la vie des patients".

 

L'attaque informatique du CHU serait bien être d'origine criminelle. Pour l'instant, la responsabilité de l'Etat est donc écartée. "Le logiciel qui a bloqué tous les systèmes est un logiciel dont la finalité est criminelle. Il s’est répandu dans la bureautique classique de l’hôpital, mais aussi dans les systèmes permettant de faire de l’imagerie médicale, des analyses", a déclaré Guillaume Poupard, le directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), sur les ondes de France Culture le 24 novembre 2019.

 

En cause : LE RANÇONGICIEL "CLOP"

L'ANSSI a pu apporter davantage de précisions sur cette cyberattaque. "Ces attaques semblent être le résultat d'une vaste campagne d'hameçonnage ayant eu lieu autour du 16 novembre 2019 et liée au groupe cybercriminel TA505", a révélé l'agence dans un rapport publié le 22 novembre 2019. Ce ransomware a paralysé le système en chiffrant l'intégralité des fichiers qui s'y trouvent. ll a touché les applications utilisées pour la gestion des blocs, les pharmacies et les prescriptions, les admissions des patients et le suivi des arrivées aux urgences. Il propose ensuite à la victime de lui fournir la clé qui permettra de déchiffrer ses données contre une rançon payable en bitcoins (et donc impossible à annuler une fois payée). 

 

Ce groupe agit sur la toile depuis 2014. Il cible principalement le secteur de la finance, de la distribution, les institutions gouvernementales et plus récemment, les secteurs de l'énergie, de la recherche, de l'aviation et de la santé. Son outil de prédilection : le rançongiciel "Clop". Il chiffre les documents stockés sur le système d'information et leur ajoute l’extension ".CIop". Il ne procède pas au chiffrement tout de suite mais quelques jours après l'intrusion. Pendant ce laps de temps, les attaquants se chargent manuellement de la propagation du malware au sein du réseau victime. Clop est le plus souvent déployé en début ou à la veille d'un week-end, à un moment où les équipes sont forcément moins réactives.

 

Une enquête en cours

Les autorités manquent d'information sur ces cybercriminels. Selon l'ANSSI, ils auraient d'importantes capacités d'action, ce qui interroge sur "la structure du groupe, qui pourrait regrouper plusieurs sous-groupes ou impliquer une collaboration avec d'autres". La seule information dont les autorités sont sûres : "ils parlent russe", a indiqué Chris Dawson, responsable des renseignements sur les menaces pour l’entreprise spécialisée Proofpoint, interrogé par Le Monde. De nombreux points restent donc encore à éclaircir, mais l'enquête ouverte par le parquet de Paris, le 18 novembre 2019, devrait pouvoir aider. Cette procédure a été confiée à l'unité spécialisée en cybercriminalité de la police nationale et au service régional de la police judiciaire de Rouen.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media