Cannes : les hackers ressuscités de Lockbit diffusent les données internes de l’hôpital piraté

Illustration. L’établissement de santé public n’a pas cédé au chantage des hackers russophones. Hans Lucas/AFP

Ils ont conservé leur pouvoir de nuisance, malgré l’action des polices du monde entier. L’opération internationale Cronos de février dernier, menée contre les hackers de Lockbit, n’aura porté qu’un coup d’arrêt temporaire. Deux mois plus tard, les pirates informatiques avaient revendiqué une cyberattaque contre l’hôpital Simone-Veil de Cannes, en partie paralysé depuis le 16 avril.

Dans un communiqué, l’établissement avait reconnu avoir été victime d’une attaque informatique d’ampleur : « Le cyberconfinement général a été une des premières décisions de la cellule de crise. Cette décision radicale a été prise très rapidement sur tous les secteurs. L’ensemble des accès informatiques ont en conséquence été coupés ».

Des experts de l’Agence nationale de la sécurité des systèmes d’information (Anssi) et de Orange Cyberdéfense étaient intervenus pour faire un état des lieux des dégâts et bloquer l’attaque. Deux semaines plus tard, ses dirigeants avaient reconnu avoir fait l’objet d’une tentative d’extorsion, appelée aussi chantage aux données.

61 Go de données internes publiées

Comme souvent dans les attaques par rançongiciel, les cybercriminels avaient exigé une rançon en échange des données volées et menacé de les diffuser. Cette menace a été mise à exécution avec la publication dans la nuit de mercredi à jeudi de 61 Go de données internes sur leur site du Darknet.

D’après les éléments que nous avons pu consulter, aucun dossier patient ne figure dans ces fichiers. Il s’agit plutôt de notes internes, de trombinoscopes ou de listes d’attente pour un médicament, complétées avec quelques données personnelles des bénéficiaires. En somme, les données exfiltrées ressemblent plus au contenu d’un disque dur que celles d’un serveur de l’hôpital.

Ralentis par le coup de boutoir policier, les hackers russophones ont repris leurs activités à plein régime. « Ils n’ont jamais vraiment disparu et ont remonté rapidement leurs infrastructures tout en conservant leurs capacités. Ce qui ne les a pas tués les a rendus plus fort », estime Pascal Le Digol, expert en cybersécurité chez WatchGuard Technologies.

La stratégie de ce groupe, qui échange en russe, a aussi changé depuis l’opération qui visait à les décrédibiliser. Les établissements de santé étaient épargnés et ils sont devenus des cibles comme les autres. « Il n’y avait eu que quelques dérapages de leurs affiliés, les petites mains derrière les attaques, mais cela ne les dérange plus de s’en prendre aux hôpitaux, comme une bête blessée qui mord désormais plus fort », analyse Pascal Le Digol.

L’hôpital de Cannes a reconnu ce jeudi dans un communiqué que les données publiées lui appartenaient bien et a confirmé le dépôt d’une plainte et d’un signalement à la Cnil. Mais aussi un retour progressif à la normale : « L’activité de l’hôpital a repris son cours quasi ordinaire. Le rétablissement du fonctionnement normal de son système d’information se fait à un rythme soutenu conforme au plan d’actions défini dès le début de la crise. »