La cyberattaque du CHU de Rouen serait bien d'origine criminelle

D'après un rapport de l'ANSSI, l'attaque informatique du CHU de Rouen a été commise par le groupe cybercriminel TA505 grâce au rançongiciel "Clop". Les autorités manquent encore d'informations, mais l'enquête ouverte par le parquet de Paris devrait pouvoir apporter des réponses.

 

Partager
La cyberattaque du CHU de Rouen serait bien d'origine criminelle

Une cyberattaque s'est produite le vendredi 15 novembre 2019 au Centre universitaire hospitalier (CHU) de Rouen. Deux semaines plus tard, les choses semblent s'éclaircir tout doucement sur cet événement qui a exigé "l'arrêt de l'ensemble des systèmes informatiques", sans pour autant "mettre en péril la vie des patients".

L'attaque informatique du CHU serait bien être d'origine criminelle. Pour l'instant, la responsabilité de l'Etat est donc écartée. "Le logiciel qui a bloqué tous les systèmes est un logiciel dont la finalité est criminelle. Il s’est répandu dans la bureautique classique de l’hôpital, mais aussi dans les systèmes permettant de faire de l’imagerie médicale, des analyses", a déclaré Guillaume Poupard, le directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), sur les ondes de France Culture le 24 novembre 2019.

En cause : LE RANÇONGICIEL "CLOP"

L'ANSSI a pu apporter davantage de précisions sur cette cyberattaque. "Ces attaques semblent être le résultat d'une vaste campagne d'hameçonnage ayant eu lieu autour du 16 novembre 2019 et liée au groupe cybercriminel TA505", a révélé l'agence dans un rapport publié le 22 novembre 2019. Ce ransomware a paralysé le système en chiffrant l'intégralité des fichiers qui s'y trouvent. ll a touché les applications utilisées pour la gestion des blocs, les pharmacies et les prescriptions, les admissions des patients et le suivi des arrivées aux urgences. Il propose ensuite à la victime de lui fournir la clé qui permettra de déchiffrer ses données contre une rançon payable en bitcoins (et donc impossible à annuler une fois payée).

Ce groupe agit sur la toile depuis 2014. Il cible principalement le secteur de la finance, de la distribution, les institutions gouvernementales et plus récemment, les secteurs de l'énergie, de la recherche, de l'aviation et de la santé. Son outil de prédilection : le rançongiciel "Clop". Il chiffre les documents stockés sur le système d'information et leur ajoute l’extension ".CIop". Il ne procède pas au chiffrement tout de suite mais quelques jours après l'intrusion. Pendant ce laps de temps, les attaquants se chargent manuellement de la propagation du malware au sein du réseau victime. Clop est le plus souvent déployé en début ou à la veille d'un week-end, à un moment où les équipes sont forcément moins réactives.

Une enquête en cours

Les autorités manquent d'information sur ces cybercriminels. Selon l'ANSSI, ils auraient d'importantes capacités d'action, ce qui interroge sur "la structure du groupe, qui pourrait regrouper plusieurs sous-groupes ou impliquer une collaboration avec d'autres". La seule information dont les autorités sont sûres : "ils parlent russe", a indiqué Chris Dawson, responsable des renseignements sur les menaces pour l’entreprise spécialisée Proofpoint, interrogé par Le Monde. De nombreux points restent donc encore à éclaircir, mais l'enquête ouverte par le parquet de Paris, le 18 novembre 2019, devrait pouvoir aider. Cette procédure a été confiée à l'unité spécialisée en cybercriminalité de la police nationale et au service régional de la police judiciaire de Rouen.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS