S’il fallait retenir un schéma de fraude majeur en 2016, qui a marqué à la fois les esprits, les compteurs et les porte-monnaie, il faudrait que ce soit le ransomware[1]. Celui-là même qui chiffre vos données et exige une rançon pour les libérer. Et puisqu’ils ne manquent ni d’imagination ni l’occasion d’un profit plus grand, sur le deuxième trimestre 2016, les cybercriminels ont concentré leurs efforts sur un domaine particulièrement sensible et rentable : celui de la santé. En effet, près de 90% des attaques ransomware sur cette période ont visé des établissements de santé[2]. Au sein de cet article nous revenons sur les tenants et les aboutissants d’un tel mariage entre les ransomware et le milieu de la santé[3].

I. Ransomware et Santé, un mariage d’amour

Ce qui transparaît, tout d’abord, en regardant l’actualité afférant aux ransomware et aux établissements de santé, c’est que tous les ingrédients sont réunis pour mettre en place une attaque, tant d’un point de vue conjoncturel (c’est-à-dire liés à l’état actuel des parcs informatiques), que structurel (c’est-à-dire liés à la nature même des hôpitaux).

  • Une association logique

Les hôpitaux, comme les établissements de santé de manière générale, peuvent assez facilement apparaître comme une cible privilégiée pour une attaque contre leur système informatique, dans la mesure où ils sont généralement très pourvus en matériel électronique et informatique, que ce soit pour des raisons administratives ou de « métier ».

Et si, au sein de ces organisations, le matériel daté côtoie du matériel récent de haute technologie, ils partagent généralement la même faiblesse : celle de ne pas correspondre à une politique de sécurité spécifique ou du moins aux besoins des enjeux sécuritaires actuels (du fait principalement de la taille critique de leurs installations et de leur matériel médical fourni par des tiers). L’absence de maintenance du site internet est à elle seule un environnement idéal pour la propagation d’un ransomware, selon Cisco Talos Research[4].

ransomware_lexsi-1016-2

 Ainsi, la taille et la vétusté des installations informatiques associées à la vulnérabilité de ces installations ont pu constituer une manne exceptionnelle pour un ransomware tel que Locky[5], à l’origine d’une campagne particulièrement intense cet été aux Etats-Unis. Selon le CTO de HackerOne[6], ce problème concerne toutes les organisations qui sont en phase de transition vers les technologies de l’information ou l’information « connectée », c’est-à-dire l’ensemble des institutions du secteur public comme des entreprises du secteur privé.

Un exemple caractéristique de la forme qu’ont pris les différentes attaques est l’exploitation d’une vulnérabilité du serveur d’application Java JBoss[7]. L’exploitation de ce type de faille pour propager un ransomware (ici, SamSam[8]) est tout à fait nouvelle et laisse augurer de l’étendue potentielle des dégâts si elle venait à se généraliser via WordPress, par exemple.

 De telles explications sont cependant purement conjoncturelles, à considérer que les failles logicielles peuvent aisément être corrigées et intégrées par la suite au processus de conception et de mise à jour du matériel médical et administratif des hôpitaux. Une autre matière l’est un peu moins et c’est celle des données traitées par les établissements de santé.

  • Une mariée « sensible »

Cette matière-là, traitée par les hôpitaux ou les institutions de santé est, quant à elle, purement structurelle : il s’agit de l’ensemble des données personnelles et de santé stocké par ces derniers pour les besoins de leur activité.  À quoi il faut ajouter que l’interruption des services dans un établissement de santé a des impacts bien plus importants que n’importe où ailleurs car ; qu’elle soit momentanée ou durable, cette interruption pose des enjeux vitaux.

Il est évident que les gains sont doubles pour les cybercriminels qui s’attaquent aux établissements de santé, car au chiffrement des données peut s’ajouter le vol de celles-ci, qui se revendent à très bon prix sur la toile (sur les places de marchés cybercriminelles, que ce soit sur le clear[9] et le dark net). Et pour les groupes cybercriminels qui se concentreraient sur le seul chiffrement des données – le vol de celles-ci étant long et gourmand en ressources, il est évident que leur pouvoir de négociation dans le cadre d’une demande de rançon est décuplé ; du fait du caractère sensible des données ciblées, essentiellement.

 ransomware_lexsi-1016-3

 Plus précisément, et pour ne laisser aucun doute sur l’importance de ces données, les informations sensibles chiffrées et/ou dérobées concernent les identités, dates de naissances, numéros de sécurité sociale, numéros d’identification médicale ainsi que les factures médicales et les données financières des patients/clients. Il est facile d’imaginer ce à quoi peuvent servir toutes ces données, depuis leur vente jusqu’à leur utilisation frauduleuse (usurpation, copie, chantage, etc…)[10]. Aux Etats-Unis, le numéro de sécurité sociale est bien plus sensible qu’en Europe dans la mesure où il s’agit d’un identifiant administratif majeur[11].

A ce jour, il n’a pas été fait état de données personnelles de ces hôpitaux ayant fait l’objet d’une telle utilisation frauduleuse ; un bilan tout à fait relatif quand on sait que les établissements ciblés n’ont pas réellement communiqué sur l’étendue des dégâts causés par les ransomware. Quant à la communication faite auprès de leurs patients, elle a revêtu un caractère soit disant « préventif » ne permettant pas de connaître l’ampleur concrète de l’attaque et de ses conséquences. D’autant plus relatif, enfin, quand on sait qu’en août dernier les dossiers de quelques 13 000 patients de l’institut de dermatologie de Virginie, The Reston, auraient été compromis[12]. Sur l’année, ce serait 100 millions de dossiers qui auraient été dérobés, selon une étude X-Force[13].

Quoiqu’il en soit, que le vol de données – qui n’est pas nouveau – soit réel ou non, qu’il soit opéré en marge ou de façon principale par les hackers, ou bien encore qu’il fasse l’objet d’un trafic partiel ou total du fait de sa haute valeur ajoutée, il apparaît clairement que la béance du défaut sécuritaire des infrastructures médicales n’est pas la cause principale de l’intérêt des cybercriminels pour celles-ci. Il s’agit plutôt pour eux d’un levier intermédiaire, permettant de s’attaquer à un secteur particulièrement sensible et vulnérable de par sa fragilité structurelle : des données on ne peut plus sensibles – car vitales – qu’il est difficile de laisser perdre ou s’échapper dans la nature et qui annihile par nature toute velléité ou capacité de négociation.

II. Ransomware et Santé, un mariage d’argent

C’est évidemment là que se situe la clé du « business » ransomware : pour être on ne peut plus clair, le ransomware est désormais « l’argent facile » des cybercriminels et, au sein même des secteurs ciblés, son parent riche est le milieu de la santé.

  • Une dote conséquente

Pour le premier trimestre 2016, le rapport du Lab de McAfee[14] rapporte que les attaques opérées par le ransomware SamSam et ciblant les hôpitaux avaient pu être reliées à un certain nombre de wallets[15] Bitcoin, utilisés pour le paiement et le transfert des rançons, et que le gain rapporté avoisinait les 100 000$. Une somme non négligeable pour l’exploitation d’un seul ransomware, sur une période donnée et qui n’a pas été, selon les différents rapports, la période la plus prolifique pour les ransomware.

Pour l’attaque d’un seul hôpital, les montants ne sont pas moins impressionnants et permettent de mieux comprendre l’aspect lucratif de la fraude. Au deuxième trimestre 2016, dans le courant de l’été, nombre d’hôpitaux américains ont subi des attaques par ransomware, dont le Los Angeles Hospital qui a beaucoup fait parler de lui en communiquant – partiellement – sur les modes opératoires du groupe cybercriminel, ainsi que sur la rançon payée, d’un montant annoncé de 17 000$[16]. Il n’est pas vraiment possible de vérifier l’exactitude de ce montant mais on peut aisément établir qu’il s’agit d’un minimum et que le montant réel est bien au-delà de la somme annoncée.

Au sein de son rapport trimestriel, McAfee rapporte également qu’à des fins de communication et de marketing un développeur de ransomware vantait les qualités à la fois techniques et financières de son ransomware en affichant le montant total des transactions et des gains générés par l’activité de son outil, depuis sa vente jusqu’à ses multiples exploitations. En tout et pour tout, l’auteur et distributeur du ransomware aurait perçu 189 813 BTC au cours de la succession de campagnes dont il était à l’origine. Ce qui équivaut à peu près à 121 millions de dollars. Il faut retirer de ce total les coûts d’exploitation, tels que les locations de botnets et l’achat de kits d’exploitation. La balance finale serait tout de même de 94 millions de dollars.

ransomware_lexsi-1016-4-jpg

 Il faut garder en tête que, comme pour chaque type de fraude, la part des victimes qui mord à l’hameçon reste moins importante que celle qui refuse de payer et que, par conséquent, les gains sont parcellaires et encore extensibles. Un bémol, cependant, contrairement à d’autres secteurs, l’écart est moins grand entre payeurs et non-payeurs pour ce qui concerne le milieu de la santé, puisque, comme écrit plus haut, le caractère particulièrement sensible de leurs données ne laisse aux établissements de santé qu’une très faible marge de manœuvre dans la résolution d’une attaque.

A en croire les chiffres du FBI, le montant payé par les victimes de ransomware (tous secteurs confondus) en 2015 était de plus de 300 millions de dollars[17]. Ce qui paraîtrait presque dérisoire, comparé aux 209 millions payés pour le seul premier trimestre 2016. Selon Craig Williams de Talos Research, cela n’est pas près de changer car le ransomware est de loin le « cyber business » le plus lucratif pour les pirates qui ont désormais les moyens de payer des vraies équipes de développeurs professionnels pour renforcer la sécurité et la capacité de frappe de leurs ransomware.

  • Une union consommée

Il y a entre ransomware et milieu de la santé une union coupable consommée, car c’est un mariage non désiré par la mariée et pourtant provoqué par celle-ci. En effet, si le ransomware s’implante si bien au sein de la « famille santé », c’est que celle-ci fait son jeu, notamment en offrant un parc informatique particulièrement poreux mais également en payant assez régulièrement la dote demandée. La conséquence directe d’être un bon payeur c’est de se voir présenter la facture assez régulièrement.

L’erreur est double si l’on considère la situation sous un angle purement sécuritaire : cela révèle l’absence de toute forme de sécurité en amont de la menace et les seules préoccupations sécuritaires n’apparaissent qu’en aval, c’est-à-dire dans la contingence du risque. Or, cette contingence n’a de justifications qu’économiques, jamais sécuritaires, parce qu’elle place la sécurisation des données sensibles dans l’ombre de politiques économiques sur l’échelle des priorités.

On notera, comme troisième vecteur de vulnérabilité et de déficit sécuritaire, que pour des raisons « évidentes » de discrétion, d’image et donc de réputation, les établissements de santé – du moins ceux qui se sont vus attaqués aux USA ainsi qu’au Japon, ont très peu communiqué en aval des attaques. Ce manque de communication concernait à la fois les modes opératoires des cybercriminels et les modes de résolution desdites attaques (c’est-à-dire principalement le paiement ou non des rançons ainsi que le montant de celles-ci). Provoquant de fait une certaine méconnaissance du crime, il est dès lors plus difficile de lutter contre celui-ci.

ransomware_lexsi-1016-5-jpg

Un peu comme sur les bancs de l’école, il appartient aux professeurs de Cybersécurité de voir chez tel ou tel élève un cancre ou bien un élève qui, avec le temps, deviendra meilleur, à condition qu’il soit guidé et encadré ou qu’il se lance lui-même dans un apprentissage redoublé. Et quelques indicateurs laissent à penser que « l’élève santé » commence à tirer les leçons d’un été chaotique, fermement décidé à faire une bonne rentrée. En effet, suite aux attaques, certains hôpitaux ont fait appel à des sociétés de sécurité afin de mettre en place des audits de sécurité et d’établir de nouvelles politiques dans le traitement des données et des exercices visant à renforcer à la fois la protection des données mais aussi les bons réflexes des employés.

Cela ne concerne pas seulement des backups solides ou des processus de récupération des données, ni même la sécurisation d’un firewall, mais bien plus encore : il s’agit principalement de déployer des solutions de sécurité pour l’ensemble des software utilisés dans le cadre des établissements de santés, pour leur activité médicale comme pour leur gestion administrative. Il s’agit aussi de sensibiliser les fabricants de matériel médical aux problématiques de sécurité et de protection des données, afin que le matériel médical ne soit pas seulement de haute technologie mais également de haute sécurité. Parce que la santé du patient est finalement autant concernée par la qualité du matériel de soin que par la sécurité des données qui le concernent.

Nous ne pouvons conclure ce bref panorama sur le ransomware et les établissements de santé sans partager quelques bonnes politiques à mettre en place au sein des entreprises ainsi qu’auprès de leurs collaborateurs :

  • Définir où sont les données sensibles de son entreprise
  • Faire des sauvegardes régulières de l’intégralité de ses données
  • Dans l’idéal, la conservation des données les plus sensibles doit se faire sur des segments de réseaux isolés
  • Faire des exercices de perte et récupération desdites données
  • Garder à jour les logiciels, et le système de manière générale, avec les derniers correctifs de sécurité
  • Sensibiliser ses fabricants de matériel médical aux problématiques de sécurité qui vous concernent
  • Se protéger aussi contre les autres formes de propagation de ransomware telles que les campagnes de spam/phishing, avec des filtres anti-spam
  • Bloquer toutes formes de programmes inconnus ou de trafics non désirés sur le réseau
  • Implémenter des réflexes de communications sur la fraude en interne comme en externe, via les bons circuits ainsi qu’une certaine transparence

Enfin, une bonne conclusion ne saurait se passer d’une petite note positive – ici, humoristique : il est apparu, au plus fort des attaques de ces ransomware  contre les hôpitaux, que ces dernières ne faisaient absolument pas l’unanimité au sein des différentes communautés cybercriminelles. Ces pratiques ont même été dénoncées sur des forums underground pour ce qu’elles avaient de peu éthique et de dangereux pour le cybercrime de manière générale.

[1] https://fr.wikipedia.org/wiki/Ransomware

[2]https://www.helpnetsecurity.com/2016/07/27/ransomware-healthcare-industry/

 [3] http://www.vie-publique.fr/decouverte-institutions/protection-sociale/etablissements-sante/qu-est-ce-qu-etablissement-sante.html

[4] http://blogs.cisco.com/author/talos

[5] http://korben.info/locky-quil-y-a-a-savoir-malware-moment.html

[6] https://hackerone.com/

[7] http://wildfly.org/

[8] http://www.symantec.com/connect/blogs/samsam-may-signal-new-trend-targeted-ransomware

[9] https://fr.wikipedia.org/wiki/Clearnet

[10] http://nationalcybersecurity.com/threat-intelligence-health-care/

[11] http://www.cleiss.fr/docs/regimes/regime_etatsunis.html

[12] http://m.healthcareitnews.com/news/ransomware-attack-dermatology-office-breaches-more-13000-patient-records

[13] https://securityintelligence.com/ransomware-and-health-care-theres-more-at-risk-than-just-money/

[14] http://www.mcafee.com/us/resources/reports/rp-quarterly-threats-sep-2016.pdf

[15] https://bitcoin.fr/qu-est-ce-que-bitcoin/

[16] http://www.zdnet.com/article/a-massive-locky-ransomware-campaign-is-targeting-hospitals/

[17] http://thehackernews.com/2015/10/cryptowall-ransomware.html