Un ancien responsable de la sécurité soupçonné du DDoS du groupe hospitalier Grand Ouest
Le 26 décembre à 08h51
2 min
Sécurité
Sécurité
Début octobre, le groupe Hospitalier Grand Ouest a été visé par une attaque par déni de service (DDoS). Selon France Info, un ancien responsable de la sécurité informatique du groupement d'hôpitaux de l'ouest de la France a été arrêté dans le cadre de cette cyberattaque.
Le DDoS aurait particulièrement affecté la clinique mutualiste La Sagesse de Rennes entre le 2 et le 4 octobre. L'établissement a dû reporter plusieurs interventions chirurgicales.
Bertrand Michel, colonel de l’Unité nationale cyber, a expliqué à nos confrères que, lors de ce DDoS, une rançon de 650 741 dollars a été exigée. Cette demande aurait « mis la puce à l'oreille des enquêteurs », puisque ce genre d'attaque n'est la plupart du temps pas accompagné de demande de ce type.
« C'est ce qui nous a mis sur une autre piste que celle d'un groupe de cybercriminels internationaux, auxquels on fait habituellement face », a-t-il expliqué.
Le Centre de lutte contre les criminalités numériques (C3N) de l’Unité nationale cyber (UNC) a ensuite pu trouver « des indices de compromission interne ».
Le suspect a démissionné en octobre, trois mois après avoir été embauché. Selon France Info, le personnel de l'établissement aurait reçu des mails de menace rédigés en anglais et en russe. Les enquêteurs auraient perquisitionné le domicile du suspect après avoir identifié son adresse IP. Il comparaitra en février.
Le 26 décembre à 08h51
Commentaires (13)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousHier à 09h43
Aujourd'hui à 01h11
Hier à 09h51
Dans tous les cas, quand tu es du métier et que tu veux taper sur ton ancien employeur, tu fais tes bêtises depuis le cyber café ou le wifi du voisin pas du tiens.
Quel boulet.
Hier à 09h55
Désolé d'être relou^^
Le DDoS c'est vraiment une plaie côté opérateur, ça demande des moyens considérables pour se défendre d'un attaquant un tant soit peu compétent et motivé.
Hier à 10h55
Mener un DDOS aujourd'hui nécessite une bande passante qu'il est impossible à avoir seul. Avant (on va dire, jusqu'à l'époque de l'ADSL), c'était assez compliqué d'utiliser des machines zombies de particuliers, car il fallait alors en compromettre énormément pour avoir la puissance nécessaire. Les pirates utilisaient alors plus souvent des serveurs mal configurés/troués/pas à jour/compris/ce que vous voulez pour réaliser leur attaque. Ce qui était plus "facile" à bloquer, car le set d'IP de l'attaque était assez restreint.
Aujourd'hui, au contraire, je pense qu'il est plus facile de compromettre des machines de particuliers pour lancer une attaque que de s'attaquer à des serveurs. Avec la fibre, cela fourni une puissance assez conséquente. Les utilisateurs ne se rendent pas forcément compte que leur machine a été compromise (et quand ce n'est pas l'IoT !) et les adresses IP sont bien plus diversifiées, ce qui rend les blocages encore plus difficile à mettre en place.
Je ne parle même pas du cloud, qui peut permettre aussi d'avoir une bonne force de frappe pour pas très cher (je crois que c'est Sony avec son PlayStation Netword qui avait été victime d'un DDOS pour une centaine de dollars !).
Du coup, en tant qu'opérateur, tu as un retour à faire sur l'évolution des techniques de DDOS et des mécanismes de prévention ? Tu confirmes mon intuition ? Ou pas du tout ?
Modifié le 26/12/2024 à 11h17
Et difficile, voir impossible, de bloquer les IP en question, à part unitairement et très temporairement, car ce sont les mêmes ranges, tournants, utilisés par tout le monde, y compris par des partenaires et même certaines applications internes.
Évidemment c'est signalé à l'opérateur cloud, et évidemment les sources ne sont pas commandés en nom propre, ce sont en général des hacks de comptes de clients du cloud qui n'ont rien à se reprocher (à part éventuellement d'avoir mal sécurisé leur compte).
Hier à 11h38
C'est vrai, les débits disponibles (et pas vraiment nécessaires mais c'est un autre débat) en upload sur des connexions FTTH sont une menace redoutable, mais les types de devices compromis sont rarement capables d'en tirer pleinement parti.
Certains opérateurs grand public surveillent leur outbound mieux que d'autres aussi, indépendamment du débit souscrit.
En parallèle, il est devenu possible d'avoir des intercos très capacitives pour un prix "raisonnable", ce qui ne règle pas tous les problèmes loin s'en faut, mais qui permet de rester à niveau.
Dans notre cas, nous avons plus d'1 Tbps de capa en ports 100G répartis sur 4 services différents.
Les attaques saturantes sur 1 Tbps sont rares, mais le risque c'est quand même de saturer un ou plusieurs ports.
Plusieurs types d'attaques sont possibles, et les stratégies pour y répondre divergent.
Quand c'est une attaque bête pas saturante (à notre échelle d'opérateur), tu peux nettoyer sur tes routeurs de bordure, ça ne coûte rien d'autre qu'une détection et une mitigation automatique au point.
Quand c'est une attaque de haut niveau pas saturante (toujours à notre échelle), tu nettoies ce que tu peux avec des équipements spécialisés (dans ton réseau ou en dehors), et tu reroutes le trafic nettoyé au client.
Le temps de l'optimisation de la mitigation, ton client est down.
Quand c'est saturant, la première des protections est d'assurer la disponibilité des routes qui comptent (ie celles qui sont légitimes et qu'utilisent tes clients), et de bloquer le trafic qui provient des AS qui t'attaquent - ou qui ne comptent pas dans le pire des cas (soit en blackholant les IPs attaquées au niveau du transitaire avant le port, soit en bloquant les AS sources de l'attaque auprès du transitaire si l'attaque concerne trop d'IPs dans ton réseau type carpet bombing).
Ensuite, on cherche à maintenir les routes les plus fondamentales qu'on a en peering sur des ports privés, et à s'assurer que l'attaque ne vient pas remplir ton backbone, pas aussi capacitif que tes intercos (dans notre cas on transporte en 100G sur le backbone national, mais on upgrade au 400G en 2025, ce qui est rare même chez les gros, mais peut ne pas être suffisant quand même dans ce cas).
Ce qui est fatigant, c'est qu'à cause d'une poignée de connards (parfois bien identifiés mais difficile à inculper formellement), tu dépenses beaucoup de temps et de moyens à assurer un service propre à tes clients, et que la loi n'est que rarement sévère à leur endroit les rares fois où ils se font chopper.
Aussi, à titre personnel, j'espère que ce mec va bien déguster et qu'il ira en taule pour une durée qui fasse réfléchir les autres.
Hier à 13h56
- un réseau de communication global qui permet le DDoS...
- des criminels qui ciblent des victimes.
- des victimes qui veulent se protéger des criminels.
- des entreprises qui vendent des solutions de protection.
Je ne sais pas si c'est par paresse, inertie ou intérêt, mais ca ne semble pas être une priorité mondiale de modifier les choses.
Modifié le 27/12/2024 à 02h00
Ce que tu dis se vérifie de manière indirecte ici:
Quand parfois (rarement...) il m'arrive de télécharger des films de vacances assez connus* chez d'autres en Bittorrent, maintenant quasiment même plus le temps de ranger le canapé et virer tout le bordel dessus pour y faire de la place pour s'y asseoir ou (/et en parallèle) micro-onder une pizza (ou un truc du genre) que tous les morceaux sont déjà tous arrivés à la maison.
Il faut dire qu'avec un upload de 100Mbps mini (voir du 500Mbps ou même du 1000Mbps UP) versus les 1Mbps UP de l'ADSL - le A est là pour en donner l'explication - et bien c'est le jour et nuit maintenant.
*
"Plus le score IMDB tend vers 10, plus l'indice de corrélation "IMDB Score" & "Download Speed" tend vers 1 , avec Download Speed =f (Score IMDB), fonction croissante sur R+."
La rançon du succès... ?
ET... P'TAIN JE METS AU DEFI QUELQU'UN ICI DE TAPER UNE LIGNE EN ITALIQUE QUI COMMENCE PAR UN " * " SANS CHANGEMENT DE LIGNE
Entre ça et les hyperlinks qui finissent par une " ) " en fin d'URL... Du bonheur...
P'tain de MarkDown tout troué !
Hier à 10h03
On s'indigne quand des grands groupes étrangers s'attaquent aux mairies, aux hopitaux ou aux écoles, mais comme quoi il y a vraiment des personnes sans éthique partout.
Hier à 10h31
Hier à 10h33
Hier à 13h30
Quand on en veut à un employeur après y être resté 3 mois, durée standard d'une période d'essai, je l'ai vu comme un renvoi.