Covid-19 : comment les cybercriminels cherchent à profiter de la pandémie

Le nombre d'hôpitaux touchés par des cyberattaques ne cesse de croître depuis cinq ans. (ELLEN LOZON / FRANCEINFO)

En 2020, le nombre de cyberattaques a explosé dans le monde. La pandémie de Covid-19 a démultiplié les opportunités de déstabilisation dans plusieurs secteurs, dont celui de la santé.

Il fait déjà nuit, jeudi 10 décembre, quand l'alerte est donnée. Un pirate s'est introduit dans le système informatique du centre hospitalier de Narbonne (Aude). Hélène Lherbette, responsable des services numériques, est sur le pont. Une cellule de crise est montée pour répondre au plus vite à l'attaque, limiter ses dégâts et "dire aux médecins quelles conséquences cela pourrait avoir sur leur travail". La décision est prise d'isoler le serveur touché, de couper les accès internet et de poursuivre les soins en utilisant les données sauvegardées en interne, a priori épargnées.

La situation n'est pas inédite à l'hôpital de Narbonne. "On est attaqué tous les jours, cela varie entre une vingtaine et une centaine de fois, relativise la responsable. On a même des jours avec 400 attaques. Pourtant, on est un petit établissement." En général, le premier niveau de sécurité suffit à arrêter ces tentatives d'infiltration. Pas cette fois, même si le pire a été évité. Tous les écrans auraient pu être hors service. Un "cauchemar" vécu dans de nombreux centres hospitaliers.

"Plus rien ne fonctionnait"

Depuis 2018, la cybermenace croît de manière effrénée, avec un pic atteint au cours d'une année 2020 marquée par le Covid-19. "Le nombre de victimes a ainsi été multiplié par quatre en un an", rapportent l'Agence nationale de la sécurité des systèmes d'information (Anssi) et son homologue allemand, le BSI. "Pendant la pandémie, le nombre d'attaques opérées à travers le monde contre des hôpitaux a grimpé en flèche", confirme à franceinfo Saif Abed, ancien médecin devenu consultant en cybersécurité. 

Parmi les structures visées figurent l'Assistance publique - Hôpitaux de Paris (AP-HP) le 22 mars, la chaîne américaine hospitalière Universal Health Services (UHS) ou encore l'hôpital universitaire de Brno, en République tchèque. "Si vous marchiez dans les couloirs, vous pouviez voir que plus rien ne fonctionnait. Tous les services, tous les ordinateurs étaient touchés", se souvient Vlastimil Cerny, directeur informatique de l'hôpital de Prague, dans un documentaire* produit par le fournisseur d'antivirus Kaspersky.

Les hackers ne s'en prennent pas seulement aux hôpitaux. Les sites industriels pharmaceutiques, les organisations médicales, les acteurs logistiques et les laboratoires essuient aussi leur lot d'offensives ou de tentatives d'intrusion. Le 3 décembre, deux analystes d'IBM alertaient* sur une série d'hameçonnages ("phishing" en anglais, une technique destinée à leurrer la cible pour l'inciter à communiquer des données personnelles) visant des organismes chargés de la distribution des vaccins contre le Covid-19. Six jours plus tard, l'Agence européenne du médicament (EMA), chargée de délivrer les autorisations de mise sur le marché des vaccins, essuyait elle aussi une cyberattaque. 

Ces attaques sont menées, bien souvent, par des pirates, par des espions, parfois affiliés à des gouvernements, ou par des cyberactivistes. A chaque groupe ses méthodes et ses objectifs : "On a par exemple des 'antivax' qui se sont mobilisés en disant : 'Le vaccin, c'est scandaleux, attaquons les labos pour les retarder'", explique Vincent Trély, président de l'Association pour la sécurité des systèmes d'information de santé (Apssis).

Des rançons de plusieurs millions de dollars

Les cybercriminels, eux, sont animés par la recherche du profit. Ils s'orientent généralement vers les demandes de rançon, à travers les fameux "rançongiciels" ("ransomware", en anglais). En France, en 2020, l'Anssi a été informée de 24 cas de compromission par ce type spécifique d'attaques dans le secteur de la santé, contre 17 en 2019.

Ces dernières années, un écosystème bien rodé semble s'être structuré. Certains développent des logiciels malveillants, tandis que d'autres mènent les attaques, réclament le paiement d'une rançon en cryptomonnaie, revendent les données ou blanchissent l'argent. Les profits peuvent être conséquents, "de quelques centaines à plusieurs millions de dollars", estime l'Anssi dans un rapport de février 2020 (PDF).

Accroître le sentiment de panique

Si elles sont parfois touchées de manière hasardeuse, les structures médicales peuvent aussi être la cible d'attaques plus subtiles : l'envoi de faux mails piégés attribués aux agences régionales de santé, de messages porteurs de nouvelles consignes sanitaires, de nouveaux protocoles pour les prélèvements, ou encore des bons de commande de masques ou de surblouses ont été ainsi identifiés en 2020.

L'objectif est d'utiliser la pandémie pour accroître la panique lors d'une cyberattaque. Cette méthode a déjà fait ses preuves, selon Stéphane Duguin, directeur général de l'institut CyberPeace et ancien collaborateur d'Europol. "Le premier 'ransomware' a été lancé contre le secteur de la santé en 1989 au cours d'une conférence de l'Organisation mondiale de la santé sur le sida, raconte-t-il. Déjà, une crise sanitaire était transformée en opportunité criminelle." 

L'enjeu est de taille, car le blocage des systèmes informatiques peut menacer des vies humaines. "Une cyberattaque peut vous obliger à rediriger un patient qui fait un AVC vers un autre hôpital et les trente minutes que vous allez lui faire perdre vont peut-être l'amener à être hémiplégique, alors qu'il aurait pu récupérer totalement", illustre l'ancien médecin Saif Abed.

Mi-septembre, l'hôpital universitaire de Düsseldorf (Allemagne) a été paralysé par une attaque, obligeant le transfert d'une patiente, morte peu de temps après. Peut-on parler de la première "cyberattaque mortelle" ? Après deux mois d'enquête, le parquet de Cologne n'a pu établir le rôle décisif du piratage, rapporte le magazine spécialisé Wired*. "Mais cela va arriver un jour ou l'autre", prévient Loïc Guezo, secrétaire général du Club de la sécurité de l'information français (Clusif).

Les pirates l'ont bien compris : la menace qui plane sur la vie des patients joue dans la décision de payer ou non la rançon. En matière de négociation, chaque Etat possède sa ligne de conduite. Les Etats-Unis ont eu tendance à beaucoup payer, faisant exploser le prix des rançons, tandis que d'autres, comme la France, recommandent de ne pas céder. Se fournir en monnaie virtuelle prend du temps, payer ne garantit pas de pouvoir récupérer facilement ses données, l'intervention de techniciens spécialisés restera nécessaire et surtout, toute rançon payée contribue à financer la montée en compétence des cybercriminels.

Un milieu difficile à sécuriser

"Les hôpitaux sont des cibles privilégiées pour les cybercriminels parce qu'il devient plus compliqué d'attaquer des banques ou des industries de pointe, qui ont mis des millions dans la sécurité", analyse Vincent Trély. Avec relativement peu de moyens, le milieu médical doit gérer des données personnelles sensibles. Ces dernières années, les dossiers médicaux, les traitements, les ordonnances, les résultats d'examens, les suivis des constantes vitales, et même les pousse-seringues se sont informatisés, démultipliant les risques de compromission des données.

Loïc Guezo cite notamment le cas des scanners ou des appareils d'IRM, particulièrement vulnérables : "Si les équipes informatiques commencent à installer des logiciels antivirus, la garantie est perdue et elles n'ont plus le droit d'utiliser le matériel d'un point de vue juridique." "C'est du matériel fantastique pensé pour le soin, mais il repose sur des couches informatiques minables !", s'indigne Vincent Trély. 

"Vous avez dans les hôpitaux français des appareils d'IRM et des scanners à 1,5 million d'euros qui tournent sous Windows XP."

Vincent Trély, président de l'Association pour la sécurité des systèmes d'information de santé 

à franceinfo

Le manque de moyens pèserait donc, ici aussi, dans la bonne marche des structures de soin. En 2018, le budget global accordé au numérique, dont celui de la sécurité en ligne, ne représentait que 1 à 2% du budget général des hôpitaux dans une majorité d'établissements, rapporte l'atlas des systèmes d'information hospitaliers français, contre 4,3% pour l'Espagne ou 4,9% pour les Pays-Bas, selon l'enquête européenne annuelle 2019 sur la santé en ligne*. 

Du côté des autorités, des mesures spécifiques ont été menées depuis 2017 : un portail de signalement des attaques a été ouvert et des instructions communiquées. Les choses vont dans le bon sens, confirment les spécialistes interrogés par franceinfo, mais pas assez vite, face au développement frénétique des groupes criminels.

"Si on doit mettre des codes, on perd du temps"

Par ailleurs, le manque de formation des soignants à la cybersécurité est régulièrement dénoncé. Le ministère de la Santé communique sur le sujet avec des campagnes de sensibilisation comme "Tous cybervigilants" (PDF). En attendant, le retard reste conséquent et l'apprentissage trop souvent conditionné à une mauvaise expérience. "Arriver à ce qu'un chirurgien mette un mot de passe de huit caractères et le change tous les dix mois, c'est compliqué", regrette Vincent Trély, qui organise des séminaires de sensibilisation.

"On part de très loin, car l'hôpital est un monde bienveillant. Dans l'armée, quand vous leur dites qu'il faut mettre de la sécurité, ils répondent : 'Bien sûr, les ennemis sont là !' A l'hôpital, on vous répond : 'Oh non, si on doit mettre des codes, on perd du temps et on n'en a déjà pas assez pour nos patients. Qui voulez-vous qui nous en veuille ?" La liste des ennemis est pourtant longue. Et la pandémie n'a pas freiné leurs intentions.