Le centre hospitalier de Corbeil-Essonnes en sait quelque chose : les cybercriminels ne sont pas plus gênés par leur conscience que par les systèmes informatiques souvent mal protégés des entreprises ou des administrations.
La menace a été exécutée. Cible d’une cyberattaque fin août, le Centre hospitalier de Corbeil-Essonnes a vu, il y a peu, une partie des données dérobées mise en ligne sur le site du groupe cybercriminel Lockbit qui lui avait donné jusqu’au 23 septembre pour verser une rançon de 10 millions d’euros. Le procédé n’est pas nouveau.« Avec le développement et l’augmentation des services en ligne, pointe Jean-Loup Richet, maître de conférences et codirecteur de la chaire Risques à l’IAE de Paris 1 Panthéon-Sorbonne, les systèmes d’information sont de plus en plus ouverts sur l’extérieur, connectant clients, fournisseurs, administrations, usagers, et ouvrant la porte à des attaques de la chaîne logistique. Nous sommes passés d’un système d’information protégé comme un château fort… à un gruyère. »Et le fromage est assez gros pour ouvrir l’appétit à des hackers ou apprentis hackers. « La cybercriminalité s’est démocratisée, note le chercheur. Quinze ou vingt ans en arrière, elle exigeait une réelle compétence technique. Aujourd’hui, quelques connaissances de base suffisent dans la mesure où les cybercriminels disposent de logiciels sur étagère, permettant des attaques sophistiquées et de plus en plus automatisées – c’est le cas du nouveau logiciel malveillant Chaos, par exemple, qui fonctionne comme un couteau suisse entre de mauvaises mains. »
Business model« Les cybercriminels, poursuit-il, ont développé leur business model en miroir avec celui des entreprises ou des administrations. Ils louent des logiciels comme un service clé en main qui les dispense, notamment, de la charge technique : le “software as a service” s’est changé en “ransomware as a service”. Connaître le business model des cybercriminels et leurs capacités techniques permet de mieux anticiper et contrer leurs attaques. Dans le cas de l’attaque du centre hospitalier de Corbeil-Essonnes, les hackers appartiennent à une communauté qui s’est agrégée autour d’un logiciel malveillant, Lockbit, qui facilite la réalisation d’attaques et la demande de rançons. »
« La majorité des attaques, insiste-t-il, sont automatisées. Un logiciel va scanner les vulnérabilités d’un service web (protocoles d’accès à distance, mots de passe réutilisés, serveurs Windows non mis à jour, etc.). Le script détecte les vulnérabilités et essaie de les exploiter. Une fois à l’intérieur du système, le cybercriminel se déplace latéralement dans le système d’information jusqu’à arriver à un entrepôt de données contenant des données clients, propriété intellectuelle, etc. Les données sont alors exfiltrées, puis chiffrées en vue d’une demande de rançon. Elles peuvent aussi être revendues par la suite. »Mais, quitte à avoir la puce à l’oreille, c’est moins du côté technique que du côté humain qu’il faut chercher la faille.
Faire les poubelles« Certes, relève Jean-Loup Richet, en raison des ressources affectées, une petite mairie est moins sécurisée qu’un grand ministère et une petite entreprise, moins qu’une grande. La parade à ces attaques, cependant, tient d’abord au respect de bonnes pratiques quant à l’organisation et aux processus de sécurité des systèmes d’information (gérer et mettre à jour les services exposés sur internet le plus vite possible, gérer les mots de passe et les accès, sensibiliser et former à la sécurité, etc.). La course technologique avec les hackers n’a aucun sens si les personnels n’ont pas été sensibilisés à la sécurité. Dans 80 % des cyberattaques, ce n’est pas la sécurité technique (infrastructure et logicielle) qui est en cause, mais une négligence humaine. »
Et de détailler : « Les hackers opèrent à trois niveaux : à distance contre un serveur peu ou mal protégé ; à proximité en recherchant les réseaux sans fil mal sécurisés et, faute de gestion des déchets techniques (clés USB, ordinateurs usagés) en fouillant les poubelles aux abords de l’entreprise ou de l’administration ; depuis l’intérieur des locaux, enfin, en profitant d’un agent d’accueil sympathique ou en passant par la porte de service pour faire “rejouer” dans les imprimantes connectées les derniers documents envoyés. Et si, en furetant dans les locaux, ils gagnent un accès à salle des serveurs, c’est carrément open bar ! Les réseaux ne sont pas pensés contre une attaque interne… »
Jérôme Pilleyre