Le 22 août, un groupe de pirates a commencé à diffuser des données piratées lors d’une cyberattaque. Près de 1,5 million de personnes sont concernées.
La menace a été mise à exécution le dimanche 25 septembre. Le groupe de malfaiteurs qui a piraté le réseau informatique de l’hôpital de Corbeil-Essonnes (Essonne), a mis en ligne les données de santé volées.
Le Centre Hospitalier Sud Ile-de-France (CHSF) a confirmé cette information.
Que s’est-il passé ?
Au moment de la cyberattaque en août dernier, les pirates ont exigé le versement d’une rançon de dix millions d’euros avant le vendredi 23 septembre. Cette rançon a été réduite à un ou deux millions d’euros.
L’établissement a refusé de payer. « Dans le cas des hôpitaux, la position de l’État est sans équivoque. Il s’agit clairement de ne pas payer la rançon », résume Gérome Billois, expert en cybersécurité de l’entreprise Wavestone. Le blog Zataz.com a averti d’une première diffusion des données sous la forme d’un fichier compacté de 11,7 gigaoctets. L’attaque semble s’être limitée aux serveurs virtuels et à une partie de l’espace de stockage de l’établissement.
Quelles informations sont rendues publiques ?
Les informations divulguées par les pirates semblent concerner les patients de l’hôpital, le personnel et les partenaires. Parmi elles figurent certaines données administratives comme le numéro de sécurité sociale, ainsi que certaines données de santé comme des rapports d’examens, de radiologie, des laboratoires d’analyses et des médecins.
Qui est responsable ?
L’auteur de la cyberattaque est un groupe de hackers russophone Lockbit 3.0. Cette organisation est active dans le monde entier et communique régulièrement.
Quels sont les dangers ?
Les autorités craignent désormais des attaques plus ciblées.
La méthode de chantage évolue. Si une entreprise ne paie pas pour le déverrouillage de ses systèmes, elle pourrait payer pour empêcher la diffusion des données personnelles volées. Les pirates peuvent aussi vendre les contenus piratés à d’autres groupes de hackers et partenaires.
L’hôpital de Corbeil-Essonnes a rappelé dans un communiqué, les principales précautions de sécurité à prendre. Lors de la réception d’un email, SMS ou appel téléphonique, il convient de vérifier la légitimité de l’expéditeur. Si une action est demandée, il ne faut jamais fournir d’informations confidentielles.
François Braun, le ministre de la Santé, a dénoncé « l’indicible divulgation de données piratées. Nous ne céderons pas devant ces criminels. Tous les services de l’Etat ont été mobilisés aux côtés de l’hôpital. »