Au moins 30 millions d'euros : ce que comptent (vraiment) tirer les hackers de l'hôpital de Corbeil-Essonnes
Contrairement aux établissements américains, les hôpitaux publics français n'ont pas les moyens de payer des millions de dollars de rançon. Alors pourquoi les attaquer ?
21 août 2022, il est 1 heure du matin passé à l'hôpital de Corbeil-Essonnes quand un employé souhaite accéder à son poste informatique. Impossible, le système est verrouillé et un message en anglais s'affiche réclamant une rançon de 10 millions de dollars. L'hôpital est victime d'une cyberattaque.
En France les hôpitaux sont publics et possèdent beaucoup moins de fonds que leurs homologues américains. Autrement dit, les hackers n'ont quasiment aucune chance d'être payés. Ce n'est pas une première, de groupes de hackers ont déjà été déçus du peu de profits tirés lors de l'attaque d'un hôpital français.
Au marché noir, un dossier médical se négocie entre 50 et 250 euros, selon les informations qu'il contient
Mais alors, pourquoi continuer à les cibler ? La réponse est simple : les dossiers médicaux. Toute personne en France a un dossier médical, il est mis à jour à chaque consultation faite auprès de son médecin généraliste. Une copie de ce dossier existe au sein des hôpitaux dans lesquels le patient s'est rendu.
Et il contient de nombreuses informations de valeur. Déjà les coordonnées du patient (e-mail, téléphone, adresse), les résultats d'examens, les traitements suivis par le patient et enfin les échanges des personnels de santé sur l'état du patient. Et ces informations valent leur pesant d'or au marché noir, où un dossier médical se négocie entre 50 et 250 euros, selon les informations qu'il contient.
Au final, les hackers qui ont pris pour cible l'hôpital de Corbeil-Essonnes peuvent espérer toucher entre 30 et 150 millions d'euros en vendant les dossiers médicaux en leur possession (en se basant sur le chiffre de 84 000 personnes acceptées à l'hôpital et 120 000 personnes passées par les urgences en 2018, derniers chiffres communiqués par l'hôpital).
Des données précieuses
Mais à quoi peuvent servir ces informations à un potentiel acheteur ? Commençons par les données personnelles. Leur intérêt numéro un est d'identifier des boîtes mails actives et privées, et donc de pouvoir les cibler pour du phishing ou les hacker. Une fois rentré dans ces boites mails, tout est possible : vol des données bancaires, usurpation d'identité, récupération de données sensibles… Mais ces données ne sont pas les seules informations dignes d'intérêt. Car connaître l'état de santé d'une personne permet de créer des mails piégés personnalisés.
Il est par exemple possible de se faire passer auprès du patient pour l'entreprise pharmaceutique qui est chargée de son traitement. Une fois la cible hameçonnée, on peut soit lui soutirer de l'argent sous prétexte de payer son traitement, ou lui faire télécharger une pièce jointe malveillante qui permet de prendre le contrôle de son ordinateur.
Payer la rançon n'est bien sûr pas une solution, cela ne ferait qu'encourager les criminels à récidiver. Surtout, si certains groupes de hackers, une fois la rançon reçue, restituent bien l'accès aux systèmes informatiques à leur victime, ils revendent tout de même les données volées. Une pratique très populaire au sein des groupes hackers qui empochent la rançon et l'argent de la vente des données volées. Le beurre et l'argent du beurre.