Connexion
Abonnez-vous

Un ancien responsable de la sécurité soupçonné du DDoS du groupe hospitalier Grand Ouest

Le 26 décembre à 08h51

Début octobre, le groupe Hospitalier Grand Ouest a été visé par une attaque par déni de service (DDoS). Selon France Info, un ancien responsable de la sécurité informatique du groupement d'hôpitaux de l'ouest de la France a été arrêté dans le cadre de cette cyberattaque.

Le DDoS aurait particulièrement affecté la clinique mutualiste La Sagesse de Rennes entre le 2 et le 4 octobre. L'établissement a dû reporter plusieurs interventions chirurgicales.

À côté d'une patiente âgée, un médecin observe une radio dentaire.

Bertrand Michel, colonel de l’Unité nationale cyber, a expliqué à nos confrères que, lors de ce DDoS, une rançon de 650 741 dollars a été exigée. Cette demande aurait « mis la puce à l'oreille des enquêteurs », puisque ce genre d'attaque n'est la plupart du temps pas accompagné de demande de ce type.

« C'est ce qui nous a mis sur une autre piste que celle d'un groupe de cybercriminels internationaux, auxquels on fait habituellement face », a-t-il expliqué.

Le Centre de lutte contre les criminalités numériques (C3N) de l’Unité nationale cyber (UNC) a ensuite pu trouver « des indices de compromission interne ».

Le suspect a démissionné en octobre, trois mois après avoir été embauché. Selon France Info, le personnel de l'établissement aurait reçu des mails de menace rédigés en anglais et en russe. Les enquêteurs auraient perquisitionné le domicile du suspect après avoir identifié son adresse IP. Il comparaitra en février.

Le 26 décembre à 08h51

Commentaires (13)

votre avatar
Un peu comme envoyer une lettre de menace en mettant l'adresse au dos en cas l'adresse est mal renseignée... Heureusement que des fois les gens sont bêtes
votre avatar
Et le type bossait dans l'IT... On comprend mieux pourquoi à la fin de sa période d'essai, on lui a dit merci...
votre avatar
Les informations sont minces mais il était administrateur réseau puis parachuté RSSI ou RSI on ne sait pas bien.
Dans tous les cas, quand tu es du métier et que tu veux taper sur ton ancien employeur, tu fais tes bêtises depuis le cyber café ou le wifi du voisin pas du tiens.
Quel boulet.
votre avatar
Ou bien tu ne le fais pas du tout, et encore moins quand des vies sont en jeu ?

Désolé d'être relou^^
Le DDoS c'est vraiment une plaie côté opérateur, ça demande des moyens considérables pour se défendre d'un attaquant un tant soit peu compétent et motivé.
votre avatar
N'empêche, c'est un des effets indésirables de l'augmentation en puissance de la connectivité internet pour tout le monde.

Mener un DDOS aujourd'hui nécessite une bande passante qu'il est impossible à avoir seul. Avant (on va dire, jusqu'à l'époque de l'ADSL), c'était assez compliqué d'utiliser des machines zombies de particuliers, car il fallait alors en compromettre énormément pour avoir la puissance nécessaire. Les pirates utilisaient alors plus souvent des serveurs mal configurés/troués/pas à jour/compris/ce que vous voulez pour réaliser leur attaque. Ce qui était plus "facile" à bloquer, car le set d'IP de l'attaque était assez restreint.

Aujourd'hui, au contraire, je pense qu'il est plus facile de compromettre des machines de particuliers pour lancer une attaque que de s'attaquer à des serveurs. Avec la fibre, cela fourni une puissance assez conséquente. Les utilisateurs ne se rendent pas forcément compte que leur machine a été compromise (et quand ce n'est pas l'IoT !) et les adresses IP sont bien plus diversifiées, ce qui rend les blocages encore plus difficile à mettre en place.

Je ne parle même pas du cloud, qui peut permettre aussi d'avoir une bonne force de frappe pour pas très cher (je crois que c'est Sony avec son PlayStation Netword qui avait été victime d'un DDOS pour une centaine de dollars !).

Du coup, en tant qu'opérateur, tu as un retour à faire sur l'évolution des techniques de DDOS et des mécanismes de prévention ? Tu confirmes mon intuition ? Ou pas du tout ?
votre avatar
Pour les sources d'attaque venant du cloud, à mon travail, chez un opérateur de premier plan, on constate effectivement que depuis quelques années une très très très grosse majorité des attaques cyber, tout types confondus, viennent d'IP des clouds AWS et GCP (mais étrangement nettement moins d'Azur il me semble).
Et difficile, voir impossible, de bloquer les IP en question, à part unitairement et très temporairement, car ce sont les mêmes ranges, tournants, utilisés par tout le monde, y compris par des partenaires et même certaines applications internes.

Évidemment c'est signalé à l'opérateur cloud, et évidemment les sources ne sont pas commandés en nom propre, ce sont en général des hacks de comptes de clients du cloud qui n'ont rien à se reprocher (à part éventuellement d'avoir mal sécurisé leur compte).
votre avatar
Il y a un peu de ça, et en même temps pas complètement.

C'est vrai, les débits disponibles (et pas vraiment nécessaires mais c'est un autre débat) en upload sur des connexions FTTH sont une menace redoutable, mais les types de devices compromis sont rarement capables d'en tirer pleinement parti.

Certains opérateurs grand public surveillent leur outbound mieux que d'autres aussi, indépendamment du débit souscrit.

En parallèle, il est devenu possible d'avoir des intercos très capacitives pour un prix "raisonnable", ce qui ne règle pas tous les problèmes loin s'en faut, mais qui permet de rester à niveau.
Dans notre cas, nous avons plus d'1 Tbps de capa en ports 100G répartis sur 4 services différents.
Les attaques saturantes sur 1 Tbps sont rares, mais le risque c'est quand même de saturer un ou plusieurs ports.

Plusieurs types d'attaques sont possibles, et les stratégies pour y répondre divergent.

Quand c'est une attaque bête pas saturante (à notre échelle d'opérateur), tu peux nettoyer sur tes routeurs de bordure, ça ne coûte rien d'autre qu'une détection et une mitigation automatique au point.

Quand c'est une attaque de haut niveau pas saturante (toujours à notre échelle), tu nettoies ce que tu peux avec des équipements spécialisés (dans ton réseau ou en dehors), et tu reroutes le trafic nettoyé au client.
Le temps de l'optimisation de la mitigation, ton client est down.

Quand c'est saturant, la première des protections est d'assurer la disponibilité des routes qui comptent (ie celles qui sont légitimes et qu'utilisent tes clients), et de bloquer le trafic qui provient des AS qui t'attaquent - ou qui ne comptent pas dans le pire des cas (soit en blackholant les IPs attaquées au niveau du transitaire avant le port, soit en bloquant les AS sources de l'attaque auprès du transitaire si l'attaque concerne trop d'IPs dans ton réseau type carpet bombing).
Ensuite, on cherche à maintenir les routes les plus fondamentales qu'on a en peering sur des ports privés, et à s'assurer que l'attaque ne vient pas remplir ton backbone, pas aussi capacitif que tes intercos (dans notre cas on transporte en 100G sur le backbone national, mais on upgrade au 400G en 2025, ce qui est rare même chez les gros, mais peut ne pas être suffisant quand même dans ce cas).

Ce qui est fatigant, c'est qu'à cause d'une poignée de connards (parfois bien identifiés mais difficile à inculper formellement), tu dépenses beaucoup de temps et de moyens à assurer un service propre à tes clients, et que la loi n'est que rarement sévère à leur endroit les rares fois où ils se font chopper.

Aussi, à titre personnel, j'espère que ce mec va bien déguster et qu'il ira en taule pour une durée qui fasse réfléchir les autres.
votre avatar
il semble y avoir un consensus pour laisser les choses en l'état:

- un réseau de communication global qui permet le DDoS...
- des criminels qui ciblent des victimes.
- des victimes qui veulent se protéger des criminels.
- des entreprises qui vendent des solutions de protection.

Je ne sais pas si c'est par paresse, inertie ou intérêt, mais ca ne semble pas être une priorité mondiale de modifier les choses.
votre avatar
:yes:

Ce que tu dis se vérifie de manière indirecte ici:

Quand parfois (rarement...) il m'arrive de télécharger des films de vacances assez connus* chez d'autres en Bittorrent, maintenant quasiment même plus le temps de ranger le canapé et virer tout le bordel dessus pour y faire de la place pour s'y asseoir ou (/et en parallèle) micro-onder une pizza (ou un truc du genre) que tous les morceaux sont déjà tous arrivés à la maison.

Il faut dire qu'avec un upload de 100Mbps mini (voir du 500Mbps ou même du 1000Mbps UP) versus les 1Mbps UP de l'ADSL - le A est là pour en donner l'explication - et bien c'est le jour et nuit maintenant.

*
"Plus le score IMDB tend vers 10, plus l'indice de corrélation "IMDB Score" & "Download Speed" tend vers 1 , avec Download Speed =f (Score IMDB), fonction croissante sur R+." :D
La rançon du succès... ? :fumer:

ET... P'TAIN JE METS AU DEFI QUELQU'UN ICI DE TAPER UNE LIGNE EN ITALIQUE QUI COMMENCE PAR UN " * " SANS CHANGEMENT DE LIGNE
Entre ça et les hyperlinks qui finissent par une " ) " en fin d'URL... Du bonheur...

P'tain de MarkDown tout troué ! :cartonrouge::zero:
votre avatar
Quelle honte...
On s'indigne quand des grands groupes étrangers s'attaquent aux mairies, aux hopitaux ou aux écoles, mais comme quoi il y a vraiment des personnes sans éthique partout.
votre avatar
De manière purement factuelle, il a clairement prouvé que son renvois était justifié, pas la moralité ni les compétences techniques de base.
votre avatar
De manière purement factuelle, il n'a pas été renvoyé, il a démissionné :
Le suspect a démissionné en octobre, trois mois après avoir été embauché.
votre avatar
Ah oui en effet, j'ai interprété au cours de la lecture et pas vérifié, mea coulpa.
Quand on en veut à un employeur après y être resté 3 mois, durée standard d'une période d'essai, je l'ai vu comme un renvoi.

Un ancien responsable de la sécurité soupçonné du DDoS du groupe hospitalier Grand Ouest

Fermer