L'hôpital André-Mignot du Centre Hospitalier de Versailles a été victime d'une cyberattaque samedi 3 décembre. Qui se cache derrière cette attaque et comment ont-ils pénétré les systèmes ?

Depuis le 3 décembre à 21 heures, l'hôpital André-Mignot du Centre Hospitalier de Versailles a été victime d'une cyberattaque de type ransomware, c'est-à-dire qu'elle paralyse tout le système informatique de l'hôpital. Les équipes médicales sont donc forcées de retourner à l'ancienne méthode, papier et crayon. Plusieurs patients ont déjà été transférés vers d'autres hôpitaux à titre préventif.

Lockbit 3.0 revendique l'attaque

Le groupe de ransomware russe Lockbit 3.0 a revendiqué l'attaque mais à cause de son fonctionnement opaque, on ne sait pas si un franchisé a lancé l'attaque ou si l'ordre venait de l'équipe dirigeante. Mais grâce à cette information, nous pouvons mieux comprendre comment s'est déroulée l'offensive, Lockbit ayant toujours le même modus operandi. Les hackers de Lockbit ont envoyé un mail piégé aux adresses mail rattachées à l'hôpital de Versailles, et l'un des destinataires a dû cliquer sur la PJ. Immédiatement, les hackers sont rentrés dans la place et ont commencé à crypter le système en visant en priorité les systèmes critiques. Une fois tout sous leur contrôle, ils ont attendu un soir de fin de semaine pour déclencher le verrouillage. La réaction des défenseurs n'en a été que plus lente en raison de l'absence des membres de l'équipe informatique pour le week-end. Lockbit a ainsi pu obtenir une victoire facile et va sans doute demander une rançon en échange du décryptage des données.

Lockbit : fléau des hopitaux ?

Lockbit semble avoir développé une certaine appétence pour les hôpitaux, mais pourquoi ? Pour commencer, cette attaque est peut-être le fait de franchisés qui auraient décidé de la lancer sans en avertir les chefs du groupe. Cette attaque peut être vue comme une réponse à l'arrestation d'un des membres de Lockbit par les forces de police canadiennes au début du mois de novembre. Pour montrer qu'ils ne sont pas affaiblis, ils auraient frappé une cible qui leur permet de revenir sur la scène médiatique. Si bien sûr Lockbit communique via cette attaque avec les instances de sécurité internationale, c'est aussi un message destiné à ses concurrents directs de Bl00dy (Lire notre article Lockbit vs Bl00dy : quand les hackers se font la guerre entre eux). Ces derniers utilisent la technologie de Lockbit et sont composé d'ex franchisés mécontents et bien décidés à prendre la place de Lockbit. Pour finir, cette obsession de Lockbit à vouloir paralyser les hôpitaux français pourrait être le signe que le groupe a décidé de rompre sa neutralité. En effet, il n'avait pas pris position lors du déclenchement de la guerre en Ukraine, alors que d'autres groupes de hackers russophones comme Killnet, qui avaient déclaré leur fidélité au pouvoir russe, s'étaient engagés à perturber au maximum les Etats pro-Ukraine via des cyberattaques visant leur économie et leurs infrastructures critiques. Ce que fait précisément Lockbit en visant les hôpitaux.

Une attaque réussie ?

Il reste une inconnue. Lockbit a bien revendiqué son attaque mais n'a pas déclenché de time bomb. D'habitude, le groupe affiche sur son site sur le Darknet un timeur : lorsque le décompte est terminé, les données de la victime sont publiées aux yeux de tous. Cette absence de time bomb pourrait s'expliquer par une dispute interne, le franchisé responsable de l'attaque est peut-être en train d'expliquer son geste aux chefs du groupe. Cela pourrait aussi être dû à un échec partiel de l'attaque. En effet, le gouvernement a expliqué que l'attaque avait été détectée en amont, il est donc probable que le processus de cryptage n'ait pas pu s'effectuer jusqu'au bout. Par conséquent, les hackers n'auraient qu'une partie des données et seraient en train de les passer en revue pour voir s'ils peuvent en tirer une rançon.