Rançongiciel : les négociateurs du GIGN appelés à la rescousse de l’hôpital
Le 29 août 2022 à 06h49
1 min
Internet
Internet
D'après Europe 1, les négociateurs du GIGN ont été sollicités pour leur expertise en matière de négociation et de gestion de crises suite à la cyberattaque survenue à l'hôpital de Corbeil-Essonnes.
L'hôpital, attaqué dans la nuit du samedi au dimanche 21 août, se voit réclamer une rançon de 10 millions de dollars, « qui ne sera pas payée selon les recommandations des autorités » précise Europe 1.
Le négociateurs du GIGN auraient été sollicités par le centre de lutte contre les criminalités numériques (C3N), chargé de l'enquête supervisée par la section cybercriminalité du parquet.
« Ce sont des spécialistes de la négociation et de la gestion de crise. Au même titre que des enlèvements ou des séquestrations, ils interviennent en changeant de milieu, celui du cyber », explique un connaisseur du dossier.
En deux ans, les négociateurs de la gendarmerie sont intervenus sur « 10 à 20 » négociations numériques liées à des rançongiciels, expliquait à l'AFP en mai dernier le général de division Marc Boget, commandant de la gendarmerie dans le cyberespace (ComCyberGend).
Le 29 août 2022 à 06h49
Commentaires (53)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 29/08/2022 à 07h01
Je dois passer à coté d’un élément mais je comprend pas l’intervention d’un négociateur …
A moins que l’auteur du rançongiciel fasse la discussion avec la Direction de l’hôpital, c’est quoi l’intérêt ?
Le 29/08/2022 à 07h19
As-tu déjà vu un ransomware moderne à l’œuvre ? Les pirates dialoguent avec la victime par messagerie instantanée donc les négociateurs ont leur place.
Le 29/08/2022 à 07h24
S’il y a discussion, ça peut se jouer.
Mais le pirate étant en position de force (maitrise des données, dans un autre pays, etc …), où est l’intérêt (mis à part conseiller la Direction dans sa communication avec les pirates) ?
Le 29/08/2022 à 07h47
Les moyens mis en œuvre pour protéger une des fonctions de l’état n’est pas forcément du même calibre que pour protéger une menuiserie qui emploie 27 personnes dans le département de la Saône.
Le 29/08/2022 à 07h59
Leur objectif est de mettre en place une stratégie et de gagner du temps pour comprendre qui sont les hackers et pour récolter des indices et des preuves
https://www.europe1.fr/societe/info-europe-1-cyberattaque-a-lhopital-en-esssonne-les-negociateurs-du-gign-engages-dans-la-gestion-de-la-crise-4130143
cadeau
Le 29/08/2022 à 07h56
même remarque pour ma part, je pense qu’il me manque des infos sur la manière dont ça se passe en pratique. L’idée d’une négociation, c’est quand-même que les 2 parties trouvent un accord, si possible mutuellement profitable. Là, si on part de l’idée que l’hôpital annonce d’emblée qu’il ne paiera rien, j’ai un peu de mal à voir ce que peut leur proposer un négociateur…
(d’un autre côté, c’est un peu pareil dans le cas d’une prise d’otages “traditionnelle”…)
Je dois avoir regardé trop de films !
Le 29/08/2022 à 08h08
L’hôpital annonce publiquement qu’il ne paiera pas. C’est pour les journalistes, c’est ce que veux entendre le grand public, mais ce qui va se passer en pratique, nous ne le saurons jamais.
Le 29/08/2022 à 09h29
Si, ça sera écrit dans le rapport financier de l’hôpital. Il n’est pas forcément publié mais bon.
Le 29/08/2022 à 10h12
Je suis pas sûr que les fonds sortiront directement de la poche de l’hôpital. Ce serait trop visible.
Il doit bien y avoir quelques caisses noires qui trainent en cas de coup dur.
Le 29/08/2022 à 16h19
Les hôpitaux n’ont pas de fonds propres pour payer une rançon. C’est le contribuable qui va payer. Oui VOUS
et moi aussi.
Le 30/08/2022 à 10h18
Quand on parle d’hôpitaux, c’est du public donc dans tous les cas, le budget provient de l’état donc des contribuables.
Le 29/08/2022 à 08h20
Ici Jahid Jehen le négociateur : je propose 2 millions !
9 millions pas moins !
JIJN: pour toi 3 millions et on en parle plus.
8 millions !
JIJN: allez 4 millions, je rajoute 2 respirateurs artificiels, on boit le thé de l’amitié et mon cousin te livre demain.
Le 29/08/2022 à 16h16
JIJN ??? T’es drogué ou alcoolique ??? GIGN
Le 29/08/2022 à 16h22
T’es con ou t’as pas d’humour ? HUMOUR
Le 29/08/2022 à 16h25
Mais tu as trop but malgré tout !
Le 29/08/2022 à 08h52
Un négociateur du GIGN? La vie sauve
Le 29/08/2022 à 09h22
Un bon coup de cross dans l’accès wan et restauration de sauvegardes off site.
Et pour les services qui ont vraiment besoin d’internet utilisation de postes cloisonnés le temps du nettoyage du reste du SI.
Le 29/08/2022 à 10h11
Ça dépend pas mal de l’infrastructure de l’établissement en fait.
Dans le mien, quelques services ont un outil qui est hébergé à distance….
Nous avons des procédures de retour au papier en cas de soucis mais c’est extrêmement pénible de changer de mode de fonctionnement. Heureusement, ce n’est jamais arrivé.
On pourra toujours nous sortir un blabla technique pour justifier la remise en marche du SI de l’hôpital.
Le 29/08/2022 à 09h24
1- Les clichés moisis à 2 balles
2- Généralement ces attaques viennent des pays de l’est.
Le 29/08/2022 à 09h48
Donc si l’hôpital remarche normalement dans les 48 H, personne ne le verra soupir !
Le 29/08/2022 à 10h08
Le pirate est en position de force, il est en calbut derrière son PC, je vois pas ce qui peut être négocié sans moyens de pression
Le 29/08/2022 à 10h09
tiens un pisse-vinaigre
Le 29/08/2022 à 10h11
Des pizzas et un hélico
Le 29/08/2022 à 10h37
C’est pas parce que le pirate est en position de force qu’il n’y a rien à négocier. Si tu me voles ma voiture et me demande 10.000 € pour la rendre, je refuserai. Par contre je suis tout à fait prêt à payer 500 € pour récupérer l’ordinateur portable que j’ai oublié dedans.
Dans le même esprit, il est possible que l’hopital négocie de récupérer l’accès à certains systèmes pour une fraction du prix.
Le 29/08/2022 à 10h40
Meme pas lors d’un exercice ?
Le 29/08/2022 à 10h53
Malheureusement, la gendarmerie a finalement donné l’assaut et abattu le routeur ADSL.
Le 29/08/2022 à 11h08
merde, je croyais que c’était la fibre ou le disque dur contaminé !
on va avoir une affaire des données contaminées, qui va remonter en haut lieu entre la Santé et les Sceaux :o
je pense surtout que cela va s’annoncer sur un terrain diplomatique.
N’oublions pas que le numérique commence un peu à grignoter sur la géopolitique internationale.
si vraiment c’est des russes derrière, n’oublions pas que nous ne sommes pas en position de faiblesse de manière générale :
on défend l’ukraine, politiquement et militairement
n’oublions pas Alexander Vinnik …. qui est sous verrous en france
et surement d’autres leviers…
n’oublions pas que les américains ont fait plier la russie sur un groupe de hacker (démantelé au lieu d’etre extradés)
donc l’idée est sans doute une stratégie de contre-attaque selon ces termes :
”
”
a annonce de cyberattaque
b annonce de non paiement
c négociation avec les hackers
d si pas d’aboutissement avec eux, on confie la patate chaude à orsay
e si les ambassadeurs n’aboutissent à aucun accord d’extradition ou de procédure de déblocage des données auprès du hacker, cela se résoudra par téléphone entre macron et poutine directement….
f si vraiment ca n’a pas avancé, la france envoie les serveurs piratés en russie “démerdez vous, de l’autre coté le matos médical sera pour l’ukraine
g et en bouquet final, on modifie le système de l’hosto sur un astra linux, pour les remettre en condition de “j’utilise ton linux, voyons si t’arrives à transformer ton projet cyrillique en passoire
scénario retransmis à netflox, vous inquiétez pas..
Le 29/08/2022 à 11h05
Par curiosité,
vous récupérez parfois les données pour les archiver ? Ou simplement vous savez comment récupérer les données, les exploiter dans un autre système ?
Le 29/08/2022 à 11h50
Je ne suis pas dans le secret des dieux mais il y a un système de backup qui permet de retrouver quelques données.
Le 29/08/2022 à 13h18
Quand j’étais étudiant, les dossiers papiers était stockés dans un bâtiment dédié du service des Archives. Pour récupérer un dossier médical, il fallait passer par eux. M
Avec la numérisation, j’ignore si il y a des données médicales “gelées” dans une infrastructures hors ligne. Mais l’hôpital n’est pas trop dépendant de ce genre de données : ils ont besoin des données sur les patients actifs pas sur les archivés.
Le 29/08/2022 à 11h49
Si nous avons déjà testé la procédure mais jamais en situation réelle.
Le 29/08/2022 à 12h53
Je suis pour une négociation, je propose 1 million de dollars ( € ) + un passeport français à celui qui nous apportera la tête du pirate.
Si maintenant un type prend notre offre au pied de la lettre, on n’y peut rien.
Le 29/08/2022 à 13h05
Des fois on demande les oreilles et la queue comme preuve pour les nuisibles…
Le 29/08/2022 à 14h24
Quand on me dit hôpital et service hébergés à distance, je m’interroge sur la criticité de ces services. Quid si le prestataire est en faillite ou décide que ce n’est plus rentable et tire la prise ?
Le 29/08/2022 à 16h22
Faillite ? Pas rentable ? Tu crois que ça se passe aussi simplement, sans signes avant-coureurs ? Quoique…
Le 29/08/2022 à 21h19
Si tu n’est pas complètement inconscient, les données hébergés dans un système cloud sont sauvegardées à la maison (et/ou chez un autre hébergeur non lié financièrement).
Mais comme on dit, avec des si, on met Paris en bouteille.
Le 29/08/2022 à 22h28
sauf que pour la plus parts des PMe , le “cloud” leur interdisent la sauvegarde locale “bah vous comprenez on peut pas extraire comme ça vos données … oui oui c’est nous qui les avons mis mais maintenant on peut pas les ressortir “
Le 29/08/2022 à 15h05
Le principal comportement d’un bitlocker, ransomware, est d’abord de s’infiltrer dans le SI cible, s’approprier les droits nécessaires pour ensuite pouvoir se déplacer latéralement.
Si ça se trouve, ça fait déjà des semaines que le groupe d’attaquants est déjà *dans les murs” pour analyser et affiner l’attaque.
Les derniers outils en matière de ransomware permettent d’ajuster avec finesse la stratégie de chiffrement : les backup en premier (vérifiez vous toutes les heures l’état des backup ou vous ne le faites qu’une fois par jour, le matin de préférence?), l’authentification en second (LDAP, AD en général dans les hôpitaux), puis le reste. Tout cela est très facilement scriptable.
Pour les négociateurs, ils peuvent jouer un rôle : le gain de temps par exemple permet de mieux analyser d’où vient l’attaque et de quelle manière elle s’est propagée. L’identification de la source de l’attaque et depuis combien de temps ils se “baladent” dans le SI va permettre d’en apprendre plus sur le groupe et pourquoi pas les démanteler. Le “quelle manière” va surtout servir dans la reconstruction du SI : sécuriser la faille critique exploitée pour mieux reconstruire le cœur du système.
Le 29/08/2022 à 15h58
La France se fait pas trop remarquée, mais elle n’est pas non plus à poils en terme de CyberAttaque il me semble.
Partie de la doctrine qui n’est que rarement abordée, à la manière de l’arme nucléaire, contrairement à d’autres pays.
Puis, si le mec est identifié, t’envois des barbouzes pour négocier en Face2Face avec lui
Bah, les hosto et d’autres structures du même accabit c’est généralement un problème d’OS périmés et d’usage de softs pas ou peut mis à jour, parce que ça coute cher en terme de matos/soft et en terme de personnel pour garder un niveau convenable.
Sans compter les softs compatibles avec des OS pas sécurisés mais que le comptable utilise, et vu que c’est lui qui sorts les soux, bah il est roi.
La sécu c’est toujours, ou du moins trop souvent le parent pauvre. Puis bon, c’est bien connu “ça n’arrive qu’aux autres”.
Le 29/08/2022 à 18h05
Pour l’avoir vécu, oui. Bon c’était pas un service critique mais c’est toujours pénible. Ça fait une bonne piqûre de rappel.
Le 30/08/2022 à 07h35
Avant de détailler la négociation que tu sembles bien connaitre entre les deux parties, il faudrait peut être déjà bien savoir ce qu’est le GIGN et non pas le JIJN comme tu l’as écrit à deux reprises (donc ce n’est pas une faute de frappe).
Initialement, je ne voulais pas relever et reprendre ton post, mais, un peu plus loin tu as mouché un inpactien (que je ne connais pas) en le traitant de “pisse vinaigre”, alors j’ai penser qu’il fallait te calmer.
Le 30/08/2022 à 19h00
Merci pour ton intervention, mais franchement la prochaine fois, entre les pisse-vinaigres, les drogués et les alcooliques, va faire un peu de tri avant d’aider ton prochain
Le 30/08/2022 à 08h44
Très bonne idée : “les gars vous nous filé la clé de decryptage ou on donne l’assaut, joué pas avec nous, on est le GIGN”.
Vas-y jean-mi, connecte ton pc et fait un tracert
Ce qui est marrant c’est que publiquement, ils disent que c’est pour gagner du temps et recolter des indices, bordel la pirates doivent être en PLS
Le 30/08/2022 à 09h27
JahIdJeheN est au GIGN ce que Hassan Sehef est à la SNCF. Je pensais que c’était assez évident à un lecteur d’hebdogiciel.
Le 30/08/2022 à 12h05
Pour les lecteurs de valeurs actuelles, c’est “Jeanne-îde Géhenne”
Le 30/08/2022 à 15h41
Hassan Cehef c’est Bruno Carette qui nous campe un épicier arabe des plus accommodants.
J’avais pas fait attention pour l’aspect géhenne.
J’aurai pu appeler le négociateur Jean-Yves Jaouenn, ç’aurait été plus proche phonétiquement mais si les bretons ont beaucoup de qualité mais ils ne sont pas réputés pour l’art de la négociation.
(Quoique Leclerc et ses fournisseurs ça doit être assez sanglant)
Le 31/08/2022 à 11h03
Ils sont où les “négociateurs” quand microsoft, apple, google, facebook et leurs copains nous volent nos données au quotidien sur leurs clouds en ligne ?
Le 31/08/2022 à 15h01
Pourquoi il ne pourrait pas intervenir ?
Essayer de faire de l’“humour” à base d’un ramassis de clichés, n’enlève pas le fait qu’il s’agit d’un ramassis de clichés.
Le 31/08/2022 à 18h30
Tu te méprends.
Je l’invite à aller au delà du message auquel il répond et consulter un peu plus l’historique de chacun afin de bien cerner qui manie la pointe d’humour, de vinaigre, ou le troll de compétition.
Après, si tu n’aimes pas Hassan Céhef, c’est une chose; mais Raton Laveur 54 a du aussi mélanger qui répond à qui.
Bref, on est sur NXi
Le 31/08/2022 à 21h04
Si JIJN le négociateur passe par là entre deux hôpitaux et un démontage/remontage de son pistolet, il y aurait une négociation à mener entre certains participants aux commentaires.
… sissi possible, bien sûr.
Pour continuer dans la veine des commentaires, on aurait aussi bien besoin d’un négociateur dans les administrations & entreprises françaises : une société états-unienne demande une rançon pour que des systèmes d’exploitation & logiciels pourris s’étalant comme des pieuvres dans les systèmes d’information fonctionnent.
Ils appellent ça “licence” mais ça coche toutes les cases de la description d’une rançon. Il faudrait songer à arrêter de les payer, celles-là, aussi.
Il y en a pour plus de 20 millions au total, qui plus est mensuellement.
Le 01/09/2022 à 04h54
Pour continuer dans la veine des commentaires idiots, sans intérêt dont on aurait pu se passer !
Que vient faire apple dans cette galère !
Le 01/09/2022 à 04h56
EXCLUSIF. Les experts du GIGN ont établi le contact par mail en fin de semaine dernière avec les pirates qui paralysent le système informatique du Centre hospitalier Sud Francilien. Ils ont pu, selon nos informations, faire baisser la rançon demandée de 10 à 1 million de dollars.
d’ici une semaine ce sont les pirates qui vont donner du pognon
Le 01/09/2022 à 13h24
C’est cool de faire baisser une rançon qu’on sait qu’elle ne sera pas payée…