Dans la plupart des établissements de santé victimes de rançongiciels depuis décembre 2020, l'attaquant entre à partir d’un accès VPN, ce qui lui permet de contourner les mécanismes de protection des postes de travail (antivirus, EDR, proxy, …), explique le CERT Santé. Il exploite ensuite une vulnérabilité (dans les contrôleurs du domaine par exemple) afin d'obtenir un accès administrateur.
Une fois l’accès obtenu, il supprime les sauvegardes et déploie l’outil de chiffrement des machines du parc, avec des outils légitimes (disponibles sur étagère ou même Microsoft : psexec, BitLocker), lui permettant de rester sous les radars des outils de sécurité qui assimilent ces actions à de l’administration « courante ».
Or, le CERT Santé a constaté que de nombreuses structures de santé n’ont pas mis en place les mesures préventives limitant les conséquences de ce type d’attaque.
Il propose donc la mise en oeuvre d'un plan d’action préventif visant à renforcer la sécurité de 5 points stratégiques du système d’information (SI) d’une structure : système de sauvegarde, système de gestion des environnements, administration des systèmes, l’accès à distance par VPN et le proxy.
L’ensemble de ces mesures devrait limiter l’impact d’une attaque par rançongiciel et ralentir la progression de l’attaquant sur le SI.
Le CERT Santé recommande d'agir rapidement, « même si certaines peuvent demander un effort important. Cet effort et les bénéfices associés sont à évaluer au regard des moyens et des délais nécessaires pour reconstruire tout ou partie du SI en cas de destruction totale des systèmes connectés à l’AD ».
De plus, conclue-t-il, « ces actions ne constituent qu’une première étape dans le renforcement de la sécurité de votre SI qui doit faire l’objet d’une surveillance et d’une amélioration continue ».
Commentaires (28)
#1
A partir d’un accès VPN ? Mais comment il obtient un tel accès ?
#1.1
Bah d’après ce que je comprends, les attaquants ont simplement récupéré les accès VPN des établissements de santé.
#1.2
Car le login c’est “administrator”, le mot de passe c’est “password”
C’est le compte utiliser par tout le monde…
Que c’est aussi le “compte domain admin”
Et qu’un mail expliquant comment se connecter au VPN est envoyé à tous les prestataires qui pourraient potentiellement avoir besoin de se connecter au réseau…
#2
Yep, c’est le scénario probable surtout quand tu vois des vulns comme cette daube : https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/?kA23Z000000boUWSAY
Vu que ces machins sont exposés directement by design, tu laisses la porte ouverte.
#3
J’ai souvenir qu’avec pulse et &, tu peux forcer la vérification de l’état du poste (présence d’un antivirus, des dernières MAJ et &) avant d’autoriser la connexion.
#4
Va demander à des établissements de santé avec des budgets IT faméliques de dépenser plus et d’embaucher un ingé ou deux de plus pour mettre en place ces projets et la MCO, bon courage !
J’espère cependant qu’en 2021 les boites comprennent de plus en plus cet élément capital.
#4.1
Il faudrait surtout qu’ils dépense mieux leur argents.. certains CHU son bien organisé et on de bonne pratiques.
Chaque établissement travail seul dans son coin…
Avec ses propres solution, ses propres logiciels.. rien d’uniformisé.
Certains établissements investissent leur argent pour faire construire LEUR datacenter.. on pourrait peut-être mutualiser? non?
Où le DSI c’est le chirurgien chef qui décide de tout.
Il surement très compétent en chirurgie.. mais souvent totalement incompétent en IT…
#4.2
Dans “établissements de santé” il y a aussi tout le secteur privé. Tu veux les obliger à mutualiser des moyens?
#4.3
Exemple..
LeLes solution de suivi des malades du COVID… chaque CHU, ou du moins région à sa solution..Bien sûre non interopérable avec la solution des autres établissements…
Si tu veut avoir des infos sur ton patient parisien qui est en vacances en Normandie: tu décroche ton téléphone…
Un réseau de datacenter interopérable pour héberger les ARS, CHU et autres hôpitaux publique.. ce serait peut-être un bon point de départ…
#4.4
Bien sûr, commençons par ne pas prendre en compte le privé ! Le toubib du CHU ne pourra pas avoir d’info sur un patient dans la clinique de l’autre côté de la rue.
Et pour illustrer ça, parlons justement de la COVID et du mépris dont ont fait part les autorités de santé vis à vis des établissements privés avec les résultats que l’on sait.
Ce dont tu parles, ça s’appelle le dossier médical, ça fait 30 ans que c’est dans les cartons, ça n’a rien à voir avec ce dont il est question ici et qui concerne les moyens internes des établissements, comme leur réseau bureautique.
#4.5
C’est un tout…
Peut-être un service informatique commun régional ou national serait un bon début…
Et non.. le problème est lié: si tu doit gérer les logiciels localement, alors que ça devrait être gérer globalement.. et bien ça coute plus cher et c’est moins bien fait.
Le pb du “dossier médical unique” qui ne sort pas des cartons, c’est un problème politique. Pas technique..
#4.6
Faudrait savoir… régional ou national? Avec ou sans le privé? Mais déjà connais-tu la réalité de la situation actuelle ou te bases-tu sur des hypothèses et conjectures?
Non, ce n’est pas un tout. Une partie du SI est déjà mutualisé entre différents centres hospitaliers. Ou au sein d’un groupement d’établissements privés. Il y a une partie du SI qui est déjà national comme l’accès aux données de sécurité sociale.
Par ailleurs, il n’y a aucun intérêt qu’il soit technique ou économique à mutualiser le réseau de l’hôpital de Dunkerque et celui de Nice, bien au contraire.
Quant au dossier médical unique, si le problème n’était que politique, vu tous les changements de majorité et de gouvernements depuis qu’on en parle, ça aurait été fait. Demande donc à la CNIL si le problème n’est que politique.
C’est formidable, tout le monde pleure de l’hypercentralisation de tout en France. L’efficacité est justement dans la territorialisation des prises de décisions et toi tu voudrais un SI unique piloté par le ministère de la santé? En mode open bar pour Microsoft j’imagine?
#5
D’un coté, chacun fait un peu ce qu’il veut dans leur coin, de l’autre, les moyens ne sont pas toujours présents, et il y a de grandes disparités d’un centre à l’autre.
Au Québec, l’accès VPN (juste la connexion) est mutualisé dans les différents centres, et passe par un service payant. Je sais pas s’ils rencontrent les mêmes problèmes que les hôpitaux français dernièrement au niveau piratage, mais ça pourrait être intéressant de s’orienter vers ça en France. Parce que là, c’est chacun sa tambouille dans son coin en fonction de ses moyens (et ce même si c’est des VPN identiques derrière…)
#6
Honnêtement, dans un hôpital public, ça me paraît impossible…
Dans une petite clinique privée où ce chirurgien chef serait actionnaire majoritaire ? Même là, ça me paraît hautement improbable…
#6.1
:-(
#7
En toute transparence.. je suis salarié de Microsoft :)…
Mais là en tant que citoyen, les fournisseurs retenues, tan qu’ils ont les capacités et les compétences je n’ai pas de préférence.
Mais j’ai pu travailler au début du covid avec différents établissements et fournisseur…
Alors.. oui c’est bien de supporté le petit hébergeur locale … mais quand on à besoins de puissance pour répondre à un pic épidémique.. bah ça tiens pas la charge… (je sais de quoi je parle j’y ai passé des nuits..)
#7.1
Ah, l’argument d’autorité, quelle merveille !
En tant que citoyen, ça devrait te perturber un peu de savoir que les données de santé des Français partent tranquillement aux Etats Unis, non?
Quant au petit hébergeur local… oui c’est vrai, mon client basé à Villeneuve d’Ascq fait appel aux services d’un hébergeur local, basé à Roubaix. Il s’appelle OVH.
#7.2
“les données de santé des Français partent tranquillement aux Etats Unis”.. c’est une légende…
MS à deux datacenter en France… et il sont utilisés pour le données de santé.
Après, c’est au choix de clients.. donc rien n’est garantie..
Et MS dispose de tout les agréments “hébergement de données de santé délivré par l’état dans le respect de la législation… ce qui n’est pas le cas de la plupart des hébergeurs Français…
Ceci étant dit.. si seulement les hébergeurs retenue étaient de la taille d’OVH ce serait pas mal..
Mais autant que je me souvienne OVH n’a l’agrément pour gérer des données de santé il y a si longtemps que ça :-) .
Si quelqu’un à la date: je suis preneur.
#7.3
MS est soumis au Patriot Act, pas OVH… Contrairement au Dossier Médical Unique, la définition des critères d’éligibilité à l’agrément d’hébergeur des données de santé est 100% politique. On devrait exclure tout opérateur non européen.
#7.4
Le choix de l’hébergeur c’est un autre sujet, et un débat bien plus large..
Mais quand on est sur des systèmes aussi sensible, il faut s’assurer de choisir une solution robuste.. et aujourd’hui on à simplement une mosaïque de solution parfois bricoler et peu fiable.
Certain CHU on des systèmes très abouti et performants: pourquoi ne pas les généraliser?
Au lieux de laisser chacun dans son coin avec ses solution bancales..
#7.5
Tu es prêt à claquer quel pourcentage du budget de la santé pour cela? (au détriment des dotations pour que tel ou tel hôpital puisse acquérir un scanner ou ouvrir 5 lits de réa avec le personnel nécessaire…)
Pose-toi les vraies questions
#7.8
Cloud act plutôt non ?
#7.6
https://www.ovh.com/fr/news/presse/cpl1211.ovh-obtient-certification-hebergeur-donnees-sante
#7.7
Mai 2019!
Merci!
#8
C’est pas une légende que certaines données dans les centres de données de Microsoft localisés en UE partent vers les US, la problématique a été évoquée dernièrement autour du data hub sur la santé
https://www.cnil.fr/fr/le-conseil-detat-demande-au-health-data-hub-des-garanties-supplementaires
L’arrêt Schrems II de la CJUE implique que Microsoft doit s’interdire de transférer des données de santé vers les Etats-Unis. Sur ce point, le juge a relevé les garanties importantes déjà apportées par le Health Data Hub et a demandé des clarifications dans le contrat.
#8.1
Je ne rentrerais pas dans ce débat.. mais je vous invite à relire l’article que vous citez.
#8.2
Tu as lu ton lien ?
Nous aussi on avait découvert un risque que les hotesses d’acceuil flinguent les clients irascibles
Alors on a pris des précautions , on a enlevé les étagères sous le comptoir et on leur a interdit d’amener des fusils à pompe au travail.
Mais en fait à notre connaissance, si le risque existait bien,il semble qu’elles ne soient jamais passées à l’acte
TGIW
#9
Les technologies d’un fournisseur spécifique de logiciels privateurs se mélangent aux concepts plus génériques… signe qu’il est acquis dans la tête de ces gens du CERT que c’est un fait établi qui n’est donc plus, par nature, à être remis en question.
Se reparle-t-on des contrats Open-Bar ? Au-delà de fausser la concurrence, ce choix de technologie est aussi un risque majeur de sécurité.
Une sécurité sérieuse nécessite de la transparence de l’applicatif en exécution (audit), et sa maitrise implique la capacité de pouvoir agir librement dessus, par exemple en le modifiant (action).
Tant que les couches technologiques elles-mêmes, résultant de choix discutables mais jamais discutés, sont les premières responsables de vulnérabilités dans leur conception-même, vous pouvez apposer des procédures opérationnelles & blâmer les opérateurs à l’infini sans faire autre chose que patcher une jambe de bois.