La cyberattaque du CHU de Rouen serait bien d’origine criminelle le 15 novembre 2019 à Rouen Campagne d’hameçonnage du groupe cybercriminel TA505 grâce au rançongiciel "Clop".

, dans le réseau de Laure Lehaut

D’après un rapport de l’ANSSI, l’attaque informatique du vendredi 15 novembre 2019 au Centre universitaire hospitalier (CHU) de Rouen a été commise par le groupe cybercriminel TA505 grâce au rançongiciel "Clop". Les autorités manquent encore d’informations, mais l’enquête ouverte par le parquet de Paris devrait pouvoir apporter des réponses.

Une cyberattaque s’est produite le vendredi 15 novembre 2019 au Centre universitaire hospitalier (CHU) de Rouen. Deux semaines plus tard, les choses semblent s’éclaircir tout doucement sur cet événement qui a exigé "l’arrêt de l’ensemble des systèmes informatiques", sans pour autant "mettre en péril la vie des patients".

L’attaque informatique du CHU serait bien être d’origine criminelle. Pour l’instant, la responsabilité de l’Etat est donc écartée. "Le logiciel qui a bloqué tous les systèmes est un logiciel dont la finalité est criminelle. Il s’est répandu dans la bureautique classique de l’hôpital, mais aussi dans les systèmes permettant de faire de l’imagerie médicale, des analyses", a déclaré Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), sur les ondes de France Culture le 24 novembre 2019.

En cause : Le rançongiciel "Clop"

L’ANSSI a pu apporter davantage de précisions sur cette cyberattaque. "Ces attaques semblent être le résultat d’une vaste campagne d’hameçonnage ayant eu lieu autour du 16 novembre 2019 et liée au groupe cybercriminel TA505", a révélé l’agence dans un rapport publié le 22 novembre 2019. Ce ransomware a paralysé le système en chiffrant l’intégralité des fichiers qui s’y trouvent. ll a touché les applications utilisées pour la gestion des blocs, les pharmacies et les prescriptions, les admissions des patients et le suivi des arrivées aux urgences. Il propose ensuite à la victime de lui fournir la clé qui permettra de déchiffrer ses données contre une rançon payable en bitcoins (et donc impossible à annuler une fois payée).

Ce groupe agit sur la toile depuis 2014. Il cible principalement le secteur de la finance, de la distribution, les institutions gouvernementales et plus récemment, les secteurs de l’énergie, de la recherche, de l’aviation et de la santé. Son outil de prédilection : le rançongiciel "Clop". Il chiffre les documents stockés sur le système d’information et leur ajoute l’extension ".CIop". Il ne procède pas au chiffrement tout de suite mais quelques jours après l’intrusion. Pendant ce laps de temps, les attaquants se chargent manuellement de la propagation du malware au sein du réseau victime. Clop est le plus souvent déployé en début ou à la veille d’un week-end, à un moment où les équipes sont forcément moins réactives.

Une enquête en cours

Les autorités manquent d’information sur ces cybercriminels. Selon l’ANSSI, ils auraient d’importantes capacités d’action, ce qui interroge sur "la structure du groupe, qui pourrait regrouper plusieurs sous-groupes ou impliquer une collaboration avec d’autres". La seule information dont les autorités sont sûres : "ils parlent russe", a indiqué Chris Dawson, responsable des renseignements sur les menaces pour l’entreprise spécialisée Proofpoint, interrogé par Le Monde. De nombreux points restent donc encore à éclaircir, mais l’enquête ouverte par le parquet de Paris, le 18 novembre 2019, devrait pouvoir aider. Cette procédure a été confiée à l’unité spécialisée en cybercriminalité de la police nationale et au service régional de la police judiciaire de Rouen.

Alice Vitard

Publié par Alice Vitard le 28 novembre 2019 dans https://www.usine-digitale.fr/


Pour en savoir plus :

- La donnée : source d’information ou vecteur de confusion
- Matinale technologique n°18 : Cybersécurité le Mardi 12 décembre 2017 à Nogent
- Une matinale protectrice le 12 décembre 2017 à Nogent
- Matinée « Santé, Intelligence Artificielle et Cybersécurité : quels enjeux ? » le 22 novembre 2018 à Rennes
- 5ème colloque sur la cybersécurité des systèmes d’information pour les établissements sanitaires et médico-sociaux le 03 octobre 2019 à Paris
- La cyberattaque du CHU de Rouen serait bien d’origine criminelle le 15 novembre 2019 à Rouen
- « La cybersécurité, enjeu majeur des acteurs de la santé » le 12 décembre 2019 à Paris