Quand les hôpitaux belges sont visés par les cyberbombes russes

Retour sur la cyberattaque du groupe de soins Vivalia par Moscou, qui n'aurait pas existé si la Belgique tirait plus vite les leçons de ses erreurs passées.

cyberattaque à Vivalia
Les dégâts subis par Vivalia: 1.500 ordinateurs paralysés et 400 gigas de données dérobées. © BelgaImage

C’est un casse phénoménal. Dans la nuit du samedi 14 mai, Vivalia découvre l’ampleur des dégâts. 200 serveurs et 1.500 ordinateurs sont paralysés par une cyberattaque. Ce groupe de soins est un très gros poisson, surtout actif en province de Luxembourg: six hôpitaux, une polyclinique, quatre maisons de repos et trois crèches. Le plan d’urgence est déclenché, les communications sont coupées, les consultations non urgentes annulées. La direction se veut d’abord rassurante. Le groupe dispose de sauvegardes et bénéficie du soutien de la Computer Emergency Response Team fédérale (CERT), afin d’identifier les points d’entrée de l’attaque et remettre en route les serveurs au plus vite.

À part des annonces contradictoires sur l’origine de l’attaque qui révèlent un manque de maîtrise (quand on ne sait pas, on se tait!), je trouve leur communication externe plutôt bonne, juge Axel Legay, professeur à l’École polytechnique de l’UCLouvain. Ils ont admis l’attaque et ont déclaré qu’ils faisaient appel au CERT. Alors que d’habitude, cette task force fédérale apprend les cyberattaques par la presse…” Selon le groupe, aucune donnée médicale ne serait compromise. Pas non plus de demande de rançon. Mais quelques jours plus tard, Anis Haboubi, expert belge en ­risques cyber, révèle que l’attaque a été revendiquée par Lockbit 2.0, un redoutable gang de hackers qui tire son nom du ransomware qu’ils utilisent. L’un des rançongiciels les plus dangereux. Sur leur blog, hébergé sur le darknet, le compte à rebours a ­commencé. Si la rançon n’est pas payée le jeudi soir, les pirates menacent de diffuser 400 gigas de datas volées au réseau hospitalier. Soit des milliers de dossiers médicaux et d’informations sur le personnel. Une bombe de données confidentielles.

Une faille connue depuis 6 mois

Vu la nature extrêmement sensible de ces données, un audit juridique dans le cadre du RGPD (le Règlement européen général sur la protection des données – NDLR) ne sera pas suffisant, poursuit celui qui dirige également le consortium wallon de cybersécurité CyberWal. Ce réseau hospitalier va devoir avoir une solide conversation avec nous, la CERT, mais aussi les sociétés qui testent la sécurité de ses infrastructures.” Par où ces pirates sont-ils entrés dans le système informatique de Vivalia? Anis Haboubi nous livre son hypothèse. “Voilà la faille que j’ai trouvée dans leur infranet, leur parc informatique.” Il s’agit d’une ­vulnérabilité qui fragilise le programme Microsoft Exchange. Une faille connue depuis… octobre 2021 et pour laquelle le géant américain propose depuis un correctif. “Voilà ce qui arrive quand on laisse des serveurs vulnérables. Cela fait pourtant des mois que les entreprises se font attaquer via cette porte d’entrée…” Cela n’étonne pourtant pas Axel Legay. “C’est une vieille faille pour nous mais pas pour une ­institution publique dont le temps de réaction est ­malheureusement beaucoup plus long.

vivalia sous cyberattaque

© BelgaImage

Ces pirates ont-ils réellement en leur possession cette base de données ultrasensible et à haute valeur commerciale (un dossier médical se revend ­jusqu’à 250 dollars)? C’est très probable. “Deux captures d’écran ont été diffusées, confie Damien ­Bancal, ex-cybergendarme français et spécialiste international des fuites de données. Rien de probant à 100 %, mais je peux vous dire que lorsque ce gang menace, c’est qu’il a de la matière.” Mais qui se cache derrière Lockbit 2.0?

Agenda politique

Ce gang a donné une interview à une chaîne ­YouTube russophone. “Un entretien dont les connotations politiques sont claires, estime AdvIntel, spécialiste américain en cybercriminalité. Notamment sur le choix des victimes, le reflet de l’agenda géopolitique. Leur rhétorique présente des similitudes évidentes avec le message politique propagé par l’État russe.” Ce que confirment aussi les informations disponibles sur le darknet du gang. Dans les conditions d’utilisation de leur virus, les hackers précisent que “celui-ci ne fonctionne pas dans les pays de l’ex-URSS”. Si on sait peu de chose sur ce syndicat du cybercrime, il n’est pas non plus inconnu de nos services de police. Ce groupe avait en effet déjà revendiqué l’attaque ­contre le Barreau de Charleroi au mois d’octobre. La rançon n’avait pas été payée et des milliers de dossiers avaient été balancés. Sur le tableau de chasse de Lockbit 2.0, hébergé sur le darknet, on découvre une demi-douzaine d’autres victimes belges, dont une société immobilière, un groupe métallurgique, deux compagnies d’expertise fiscale et même une ville de Flandre-Orientale.

Depuis un ordinateur et une suite de logiciels spécialement paramétrés pour garantir notre anonymat et notre sécurité, on a tenté de contacter ce gang de hackers. Via la messagerie chiffrée Tox Chat, un moyen de communication très prisé des cybercriminels. Sans succès. Mais on a profité de ce poste de travail très spécial pour télécharger des fichiers depuis le darknet de Lockbit 2.0. Il s’agit des dossiers balancés par le collectif lorsque ses victimes ne paient pas la rançon. Nous avons répété l’opération pour trois sociétés piratées par ce gang et les fichiers consultés (relevés de cartes de crédit, notes de frais, fiches techniques, infos clients…) nous semblent authentiques.

vivalia sous cyberattaque

© BelgaImage

20 % du butin

Restons toutefois prudents. Face au refus de cer­taines compagnies de céder au chantage, les données publiées par ce groupe de cybercriminels se sont ­parfois révélées de faible niveau de sensibilité. Et le tableau de chasse exhibé par les hackers leur sert aussi de campagne marketing. Comme d’autres ­syndicats du cybercrime, Lockbit 2.0 vend en effet son rançongiciel à d’autres hackers. “Notre programme est le logiciel de cryptage le plus rapide au monde, affirme le collectif, tableau comparatif à la clé. La seule chose à faire est d’accéder au serveur central. Le ransomware fera tout le reste.” Combien coûte ce programme malveillant? “Les rançons sont intégralement payées à nos affidés. Ceux-ci nous reversent ensuite 20 % des sommes perçues”, explique le porte-parole du syndicat dans cet interview.

À combien se monte la rançon exigée à Vivalia? La direction reste muette, le dossier étant dans les mains du parquet fédéral. Vu le caractère ultrasensible de ces données et les sommes exigées par ces hackers à leurs autres victimes, on peut légitimement penser que la somme se compte en millions d’euros.

Depuis, les 400 GB données personnelles volées n’ont pas été publiées. Les hackers ont même retiré leur menace de les rendre publiques quelques heures avant la fin de la deadline, reportée à samedi dernier. Cela veut-il dire que Vivalia a payé la rançon demandée? La question, hypersensible, reste ouverte. Mais, même si peu d’experts osent le dire, ils le pensent tout bas: le groupe de soins avait intérêt à céder au chantage pour éviter les conséquences – liées notamment au non-respect des législations européennes en la matière – d’une fuite aussi massive de données ­personnelles, surtout si l’origine de l’attaque se situe bien sur une faille qui aurait dû être corrigée depuis six mois. Rappelons tout de même que c’est une intercommunale et que la rançon, si elle a été payée, l’aura été avec des deniers publics. Rappelons aussi que plusieurs régimes de sanctions internationales interdisent tout versement de fonds vers une liste noire de pays… Dont la Russie.

Sur le même sujet
Plus d'actualité