Connexion
Abonnez-vous

Une nouvelle fois, un hôpital frappé par une attaque informatique

Une nouvelle fois, un hôpital frappé par une attaque informatique

Le 11 février 2021 à 08h52

Après Rouen, Au tour de l’hôpital de Dax d’être contraint de revenir au papier et au stylo indique France Bleu. Même le standard téléphonique a été frappé par cette vague, annonce le centre hospitalier Dax-Côte d’Argent

« Cette attaque a mis hors service la totalité de notre système d'information par cryptage des données. Les données n'ont pas été volées, elles sont toujours sur nos serveurs, mais elles sont cryptées et donc ne sont plus accessibles », a détaillé Aline Gilet-Caubere, la directrice adjointe, dans les pages de Sud-Ouest.  

« Tout le réseau informatique est hors service. C'est toute la "colonne vertébrale" de l'établissement qui est touchée » ajoute sur France-3 Régions, Julien Dubois, le président du conseil de surveillance de l'hôpital. 

Alors que les données sont désormais chiffrées et inaccessibles tant que le centre n’aura pas payé une rançon, nos confrères indiquent qu’une enquête a été initiée pour atteinte à un système de traitement des données mis en oeuvre par l'État « par bande organisée, modification et introduction frauduleuse de données et extorsion en bande organisée et association de malfaiteurs. »

Le 11 février 2021 à 08h52

Commentaires (50)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Les sauvegardes les gars … les sauvegardes …



C’est dingue de voir les collectivités, les villes, les hostos, … faire la une des journaux et de jamais se dire “tien et moi comment je me protège” …

votre avatar

On l’a déjà dit sur ce forum : les sauvegardes contiennent le malware, laissé volontairement dormant pendant plusieurs semaines ou mois…

votre avatar

Une sauvegarde “sécurisée” c’est conservé hors ligne et hors réseau. Chez nous c’est tous les soirs qu’un backup hébergé hors réseau est créé.
Donc même si le malware est dans la sauvegarde tu as une sauvegarde des données, il faut la “nettoyer” avant de la pousser sur un réseau ouvert. Si le “malware” n’a pas de contact avec ses serveurs de contrôle il s’activera pas (sauf s’il est programmé pour une date et heure bien entendu et encore)



Tout à fait on leur donne pas les moyens de se protéger non plus … Ce qui est surement encore plus inquiétant …

votre avatar

Il n’y a pas que les backup qui compte car ils peuvent eux même être encrypté dans le process. Toute la sécurité est à revoir.



Enfin, quand on voit que les hôpitaux n’ont même plus d’argent pour leur activité principal… alors la sécurité du réseaux…



Ils ont beau dire que c’est honteux de s’attaquer au hôpitaux, mais ils ne sont pas particulièrement visé dans l’histoire, juste qu’ils sont très mal sécurisé et donc souvent sujet à ce genre d’attaque.



Ce qui est honteux, c’est que, au vu du nombre d’attaque de plus en plus récurrent des hôpitaux, ils n’y a toujours pas eu une prise de conscience du secteur pour augmenter la sécurité et réduire ce genre d’attaque (qui aura toujours lieu hein, juste qu’il faut le réduire au maximum…)

votre avatar

Totalement d’accord, je ne pense pas que les hôpitaux soit spécialement visés, ils sont juste les victimes de campagnes de crypto envoyés en masse. Généralement ce sont des campagnes de Spam avec des liens ou des PJ contenant la charge virale. Il suffit d’un utilisateur et d’une version 0day du virus pour que ça passe… et comme les hôpitaux ont très certainement un buget IT très serré…

votre avatar

Il faudra hélas qu’il y ait des morts, et encore, pour que cette prise de conscience se produise.
On aura droit à un discours martial, viril de la part de l’Etat. Et comme pour bien des problèmes, LREM aura le sentiment d’avoir fait ce qu’il fallait…Et cela recommencera…

votre avatar

serpolet a dit:


C’est moi ou ce que tu dis n’a pas de sens ?
Tu m’aurais dit les sauvegardes ont elles-aussi été cryptolockées, je dis ok. Mais “les sauvegardes contiennent le malware” :keskidit:

votre avatar

Je parlais de sauvegardes externes (pas en réseau, comme il est conseillé de faire).
Est-ce une garantie absolue ?
Edit : je viens de voir le commentaire de @secouss


votre avatar

En même les hôpitaux sont une cible de choix: importances cruciales des données pour son fonctionnement et moyens limités depuis des années imposant des “choix budgétaires “.



Je n’ose pas imaginer la merde si cela touchait mon établissement..



Et j’imagine la galère pour le service informatique: des milliers de postes et d’utilisateurs, tout connecté à la fois au réseau interne et externe.



Suffit d’un naïf pour ouvrir le mauvais fichier et BOOM.

votre avatar

Ce qui est honteux ce n’est pas plutôt de s’attaquer aux hôpitaux ?



Je sais que c’est à eux de se protéger, mais faut vraiment être un gros connard pour demander une rançon à un hôpital.

votre avatar

Une femme est décédée en Allemagne alors qu’une attaque par ransomware (ou rançongiciel) frappait l’hôpital universitaire de Düsseldorf où elle aurait dû être opérée en urgence […] Les attaquants auraient pris pour cible l’établissement de santé par erreur. A priori, ils pensaient s’attaquer à une université à laquelle l’hôpital de Düsseldorf est affilié. Les autorités ont pu entrer en contact avec les attaquants qui ont mis fin à leur action (et demande de rançon) et ont fourni une clé pour le déchiffrement des données.
source (septembre 2020)


votre avatar

Je sais qu’il y a eu cette histoire, j’en ai entendu parler.
Ici rien ne dit que c’est une erreur de cible. J’imagine que certains attaquant s’en foutent de s’en prendre aux hôpitaux.

votre avatar

Après en 2021, ils ne peuvent pas avoir un filtrage AV en amont sur les mail ?

votre avatar

Pour que tout soit chiffré il faut un peu plus qu’un mec qui clique sur un mauvais lien, ou alors ils ont 5 ans de maj de retard et c’est l’admin qui a ouvert le mail avec le compte admin du réseau.

votre avatar

Carrément !
J’ai travaillé il y a quelques années dans une petite collectivité (environ 150 postes, 250 avec les écoles) et quand je suis arrivé, 0 mise à jour de serveur, laissés tels quels après leurs livraison par le prestataire qui a vendu le logiciel, et bien sûr tous les utilisateurs admin de leur machine.
Alors qu’il y avait un service informatique avec 3 techs + directeur…
En fait la majorité du temps était pour faire du curatif ou de l’administratif inutile plutôt que pour faire du préventif ou travailler à améliorer le réseau !

votre avatar

Ton exemple est un cas extrême, mais pour travailler dans le service informatique d’une collectivité moyenne (~1200 agents), c’est compliqué de garder le SI à jours ne serait-ce qu’à cause du nombre d’applis métiers différentes (une 50aines pour nous à la louche) et des contraintes de chacune.
A cause des vieilles applis qu’on doit garder pour des raisons réglementaires ou par manque de moyens, j’ai toute les versions de Windows Server, d’un vieux serveur physique sous 2003 jusqu’à du 2019 flambant neuf.
On a même des applis (radio de la police et gestion des alarmes notamment) qui nécessitent une nouvelle licence après les mises à jours Windows…

votre avatar

C’est triste quand même. J’espère qu’ils vont récupérer leur système rapidement.

votre avatar

lansing a dit:


Après en 2021, ils ne peuvent pas avoir un filtrage AV en amont sur les mail ?


Même avec un filtrage AV sur les mails, la garantie de bloquer tout ce qui est illégitime à 100% reste toujours imaginaire.

votre avatar

Il est tout-à-fait possible de bloquer 100% des malwares dans les emails professionnels, où la nécessité d’y recevoir du code exécutable est de 0%.



La sécurité implique de renoncer à ce que tout soit possible dans n’importe quel contexte.

votre avatar

En sécurité info, admin système and co, on ne te garantira jamais une sécurité à 100%. C’est tout simplement impossible.
Si une société ou un consultant te promet ça, ne le prends pas. Au mieux, ce sont des incompétents menteur, au pire ce sont des personnes mal intentionnées.



On fait de notre mieux pour que, quand il y a une attaque, cette dernière soit la moins dévastatrice possible, c’est tout.
IDP/IPS, firewall, proxy etc etc… prend ce que tu veux, mais tous ces matériels/ logiciels sont pas 100% fiable.



Ensuite, on analyse, on colmate la faille et on restaure via des PRA (Plan de reprise d’activité)



Et on passe notre temps à prévoir, améliorer et à se préparer au pire. On fait des audits bien sûrs. On essaie de maintenir à jour notre infra.



Et ne pense pas qu’il y a des outils 100% fiable pour filtre les spams. Ça se saurez si ça existant et les spams ne seraient plus un problème et un casse tête depuis longtemps.



Rien que sur la dernière campagne de faux fishing qu’on a fait dans ma boîte informatique, c’était une catastrophe.
1 ère vague, quasiment 59% des gens avait cliqué sur les liens dans l’émail ou ouvert la pièce jointe.
2 ieme vague, après un e-mail pour informé les gens, 34% avait cliqué.
Avec un second rappel et une troisième vague, 11% avait cliqué.



Et ce n’était pas que des gens de l’admin ou RH ou autre métier non lié à l’informatique…
Le facteur humain est juste la variable la plus pourri à gérer… c’est d’ailleurs pour ça qu’on sait qu’un système n’est pas sur à 100%… et c’est pour ça qu’on attribue une partie de notre temps de notre temps à sensibiliser les personnes.
Les chartes, c’est pas pour les chiens d’ailleurs. X)



Tu peux être le plus strict que tu veux, le plus limitant au monde, les probabilités font qu’un jour, tu auras une personne qui fera une connerie, un outils ne sera pas à jours en temps et en heure, ou une faille day one et cette dernière sera exploitée et ton réseau attaqué.

votre avatar

Nerg34 a dit:


En même les hôpitaux sont une cible de choix: importances cruciales des données pour son fonctionnement et moyens limités depuis des années imposant des “choix budgétaires “.



Je n’ose pas imaginer la merde si cela touchait mon établissement..



Et j’imagine la galère pour le service informatique: des milliers de postes et d’utilisateurs, tout connecté à la fois au réseau interne et externe.



Suffit d’un naïf pour ouvrir le mauvais fichier et BOOM.


Dans le cas d’un hôpital par exemple, l’ANSII et la réserve de cyberdéfense peuvent venir filer un coup de main, c’est déjà arrivé.

votre avatar

secouss a dit:


Tout à fait on leur donne pas les moyens de se protéger non plus … Ce qui est surement encore plus inquiétant …


On ne leur donne pas les moyens d’avoir ni lits, ni matériel, ni des postes pérennes, alors la DSI … c’est même pas que c’est secondaire, c’est que c’est même pas envisageable d’en faire plus que le minimum fonctionnel vital.

votre avatar

woodcutter a dit:


Je sais qu’il y a eu cette histoire, j’en ai entendu parler. Ici rien ne dit que c’est une erreur de cible. J’imagine que certains attaquant s’en foutent de s’en prendre aux hôpitaux.


Certains doivent taper au hasard et ne savent peut-être même pas qui ils attaquent. :/

votre avatar

Y a pas qu’une question de moyen financiers, je connais quelqu’un qui travaille dans le service informatique d’un grand hôpital Francilien et c’est pas beau à voir comment c’est géré…
Et il n’y a aucun contrôle externe !
Quand on voit que les organismes financiers sont eux très surveillés avec des audits externes (ACPR par exemple), c’est dommage que ce ne soit pas le cas ici.

votre avatar

En meme temps vu comme ils se sentent superieur a tout le monde dans les hostos ca les remet 1 peu a leur place, il y a plus malin qu’eux.
Ils sont beaux tous ces gens qui sont paralysés des qu’ils sont forcés de s’adapter : apprenez a vous debrouiller par vous memes, les gars. Apres 10 ans d’etudes vous devriez savoir vous servir d’un stylo.

votre avatar

:reflechis: :reflechis:

votre avatar

Oui, c’est un sociopathe.

votre avatar

“Les données n’ont pas été volées, elles sont toujours sur nos serveurs,”



Les données peuvent avoir été copié, depuis quand la présence sur les serveurs garenti qu’il n’y a pas de vol de donnée…

votre avatar

depuis jamais :D

votre avatar

Il faudrait peut être penser différemment aussi. Pourquoi les hôpitaux ne travaillent pas mains dans la mains sur la partie IT ? Je me trompe peut être, mais si je comprends bien aujourd’hui c’est chaque groupement hospitalier fait comme il le souhaite. Vu que c’est un secteur critique, ca pourrait être intéressant de s’y pencher. Plutot que de balancer du budget qui sera utilisé à tord et à travers par certains, ca pourrait être bien de mutualiser certains soft de sécurité, de former, de renouveler a une échelle plus grande.




secouss a dit:


Les sauvegardes les gars … les sauvegardes …



C’est dingue de voir les collectivités, les villes, les hostos, … faire la une des journaux et de jamais se dire “tien et moi comment je me protège” …


En même temps, il n’est pas dit qu’il n’y a pas de sauvegarde, ni qu’elles sont impactées (en tous cas pas ici). Je pense que ca ne ce restaure pas en un claquement de doigt, d’ou le “nos équipes font le maximum pour rétablir la situation dans les meilleurs délais”.




Arkeen a dit:


On ne leur donne pas les moyens d’avoir ni lits, ni matériel, ni des postes pérennes, alors la DSI … c’est même pas que c’est secondaire, c’est que c’est même pas envisageable d’en faire plus que le minimum fonctionnel vital.


Ils ne sont pas non plus totalement à la dérive. Je trouve la rémunération de certains postes et les suppressions scandaleuses. Niveau Budget, il faut voir ce qu’ils gaspillent aussi…

votre avatar

“Alors que les données sont désormais chiffrées et inaccessibles tant que le centre n’aura pas payé une rançon”
J’en conclue qu’il existe une clé de déchiffrage et que les données ne sont donc pas cryptées.

votre avatar

Si le pirate n’a pas gardé la clef…

votre avatar

Drepanocytose a dit:


En meme temps vu comme ils se sentent superieur a tout le monde dans les hostos ca les remet 1 peu a leur place, il y a plus malin qu’eux.


A mon avis, si supériorité il y a, elle ne va pas disparaître et c’est plutôt l’équipe technique qui va se la prendre dans la figure pendant un moment.

votre avatar

olt01 a dit:


Il est tout-à-fait possible de bloquer 100% des malwares dans les emails professionnels, où la nécessité d’y recevoir du code exécutable est de 0%.



La sécurité implique de renoncer à ce que tout soit possible dans n’importe quel contexte, et à prendre en compte l’environnement de travail à 360 degrés. Un OS correct, bien administré, des serveurs renforcés, des IPS etc…


Une infrastructure nationale gérée par l’armée serait utile et peu chère pour équiper les hôpitaux, les administrations nationales, régionales, départementales, et même communales.



Évidemment, il faudrait considérablement restreindre les possibilités des utilisateurs sur les postes de travail, et peut-être mettre à disposition des bornes dédiées à l’utilisation perso.

votre avatar

(reply:1854067:dvr-x)


Je bosse dans une clinique mais j’ai des amis dans le public.
Je pense aussi que la mutualisation des moyens au niveau national pour ces systèmes serait le bienvenu. Actuellement, chaque “groupement” fait comme il veut.

votre avatar

Auparavant, le SI des hôpitaux et des ARS étaient alimentés par le SI du Ministère sur lequel les sondes de l’ANSSI sont préssentes, mais décentralisation aidant, tant les ARS que les établissements hospitaliers sont devenus autonome sur le sujet avec toutes les failles qui en découlent.
Le Ministère reste conseil quand à l’interconnexion avec le Ministère, mais pour le reste ce sont les régions qui décident.



Le première chose à faire est d’identifier le point d’insertion, à partir de là il pourront décider de la stratégie de recovery.

votre avatar

Je bosse également pour les collectivités dans le Public.
Déjà tout est soumis à appel d’offres, donc une mutualisation “nationale” on en est loin.
Les CC (communautés de communes) commencent à peine à certains endroits à mutualiser leurs services informatiques…



Sinon nos clients reçoivent régulièrement des mails de CHU/Hopitaux/cliniques, eh bah c’est pas joli les informaticiens qui y bossent, ils ne savent déjà pas correctement configurer du SPF et leur HELO sur leurs serveurs mails (du crosoft exchange ‘y clic et ça marche’) alors pour le reste…

votre avatar

olt01 a dit:


Il est tout-à-fait possible de bloquer 100% des malwares dans les emails professionnels, où la nécessité d’y recevoir du code exécutable est de 0%.


Le cas du malware livré en code exécutable dans l’émail, ça doit représenter 15-20% des tentatives au mieux. Le reste portera sur du click bait, de la macro dans du document, du zip chiffré ou du pdf vérolé. Bon courage pour tes 100%.

votre avatar

serpolet a dit:


Hello, il y a eu une mise à jour au niveau de l’enquête, finalement, ils ont conclu qu’elle serait quand même morte sans le ransomware.



Décès d’une femme après une cyberattaque : le lien n’est finalement pas prouvé

votre avatar

(quote:1854085:Z-os)
Si le pirate n’a pas gardé la clef…


C’est juste.

votre avatar

Je trouve les propositions d’avoir un mutualisation des services IT, ou un organe national pour aider à gérer cela dans le hôpitaux plutôt pertinent. Comme l’ont dit certains, actuellement c’est chacun dans son coin, et au vu des budgets qui ne sont déjà pas joyeux pour la santé elle-même, j’en vois mal certains se dire qu’ils vont utiliser l’argent pour leur service informatique. C’est certes dommage, mais c’est une réalité.



Quant à savoir si ça cible directement les hôpitaux, je ne serais pas si certain que ce ne soit pas le cas. En Belgique, plusieurs hôpitaux ont très récemment été victimes de ransomware. Le dernier était il y a 3 semaines (à ma connaissance), et il commence seulement à s’en remettre.

votre avatar

Après la cyberattaque à l’hôpital de Dax, les hôpitaux de Dordogne déjouent une attaque informatique (franceinfo, 1102)




“Nous avons immédiatement coupé les réseaux […] et nous avons constaté que quatre ordinateurs du centre hospitalier de Périgueux et deux du centre Lanmary avaient déjà été contaminés […] Au regard de ce qui s’est passé à l’hôpital de Dax, nous avons de suite désactivé les serveurs de sauvegarde pour protéger nos données de secours”


votre avatar

olt01 a dit:


Il est tout-à-fait possible de bloquer 100% des malwares dans les emails professionnels, où la nécessité d’y recevoir du code exécutable est de 0%.



La sécurité implique de renoncer à ce que tout soit possible dans n’importe quel contexte.


Pas besoin d’un code exécutable dans un mail pour faire passer un malware. Un simple lien suffit largement.

votre avatar

(reply:1854140:Ced-le-pingouin)
Si il y a mutualisation, il y aura forcément des baisses de budgets, c’est même le but…


votre avatar

En fait, je me dis que si c’est un département spécialisé, “à côté” des hôpitaux, ils pourraient avoir un budget à eux, et surtout (ce qui me semble le plus important), tous ses membres seraient spécialisés en sécurité. Peut-être que globalement, le budget serait inférieur à ce qu’il pourrait être s’il y avait un tel département dans chaque hôpital (mais je ne pense pas que ce soit le cas actuellement, sur la sécurité spécifiquement), mais ça couvrirait les hôpitaux où il n’y a de toute façon pas de vrais experts en sécurité. Tous les département IT ne sont pas forcément experts en sécurité, dans la situation actuelle, je pense. C’est con, mais je crois que ça arrive plus souvent qu’on ne le pense.

votre avatar

(reply:1854171:Ced-le-pingouin)


l’astuce budgétaire est de ne pas payer pour la sécurité, c’est interdit par la loi de pirater. Si cela arrive c’est a la police d’enquêter et la justice de punir. et voila !

votre avatar

Ouais, enfin ça m’étonnerait quand même que certains hôpitaux ou leur service IT (même si ce n’est sans doute pas eux qui décident) se disent sciemment que c’est une bonne idée d’esquiver la question de la sécurité. Quand on sait la merde noire dans laquelle on se retrouve après un telle attaque… Certes, il y en a sûrement qui “ne savent pas”, mais je pense pas qu’ils soient majoritaires en 2021. Je veux dire, ok on peut se dire que la justice fera son boulot après coup, mais les dégâts sont là, et l’image de l’hôpital en prend un coup.

votre avatar

(quote:1854067:dvr-x)
Il faudrait peut être penser différemment aussi. Pourquoi les hôpitaux ne travaillent pas mains dans la mains sur la partie IT ? Je me trompe peut être, mais si je comprends bien aujourd’hui c’est chaque groupement hospitalier fait comme il le souhaite. Vu que c’est un secteur critique, ca pourrait être intéressant de s’y pencher. Plutot que de balancer du budget qui sera utilisé à tord et à travers par certains, ca pourrait être bien de mutualiser certains soft de sécurité, de former, de renouveler a une échelle plus grande.


Parce qu’ils ont des problèmes de riches : à l’université, qui est le ministère le moins bien payé et doté, il y a deux “éditeurs” qui fournissent tous les logiciels, chaque académie et université, donc en gros chaque région choisit soit AMUE soit cocktail (voire un mix des deux) qui sont issus des universités. Mais l’université, c’est à peine 30 milliards d’euros par an alors que les hôpitaux c’est 90 et la santé 200, donc on n’a pas les mêmes valeurs :D




Ils ne sont pas non plus totalement à la dérive. Je trouve la rémunération de certains postes et les suppressions scandaleuses. Niveau Budget, il faut voir ce qu’ils gaspillent aussi…


Tous les services publics gaspillent l’argent : parce qu’il y a des règles stupides (par exemple, si tu dépenses pas tout, quelle que soit la raison, on te coupe ton budget de l’année suivante), et parce qu’on met tous les moyens dans des fonctions support qui ne servent à rien (je suis dans un établissement du supérieur où il y a 20 comptables et agents du financier pour 250 agents au total; plus on recrute de comptables et de financiers, plus on a de paperasse à faire au niveau des opérationnels et moins c’est fluide).

votre avatar

deathscythe0666 a dit:


Tous les services publics gaspillent l’argent : parce qu’il y a des règles stupides (par exemple, si tu dépenses pas tout, quelle que soit la raison, on te coupe ton budget de l’année suivante)


Le pire exemple de ça que je connaisse, c’est quand un ami a fait son service militaire en Suisse comme conducteur il y a 15 ans. En fin d’année, on leur demandait de faire tourner les camions et autres engins à l’arrêt pendant des jours, pour finir le reste de carburant et donc ne pas en avoir moins l’année prochaine.



Je sais pas si ça se fait toujours, mais la couche qu’il faut avoir pour décider et ordonner un truc pareil !

votre avatar

Inodemus a dit:


Le pire exemple de ça que je connaisse, c’est quand un ami a fait son service militaire en Suisse comme conducteur il y a 15 ans. En fin d’année, on leur demandait de faire tourner les camions et autres engins à l’arrêt pendant des jours, pour finir le reste de carburant et donc ne pas en avoir moins l’année prochaine.



Je sais pas si ça se fait toujours, mais la couche qu’il faut avoir pour décider et ordonner un truc pareil !


C’est moins débile que les budgets parce que le carburant ne se conserve pas indéfiniment. Donc quand il y a des réserves un peu trop importante, en général, sans arriver à des stupidités comme faire tourner des moteurs au point mort, l’armée augmente l’utilisation des véhicules dans les exercices. Ça doit être un peu moins le cas en ce moment (en France), on utilise beaucoup de carburant en OPEX donc les reliquats doivent être moindre.

Une nouvelle fois, un hôpital frappé par une attaque informatique

Fermer