120 hôpitaux du groupe Ramsay pris en otage par un Cryptolocker… Des CHU attaqués… 800 millions de PC Windows affectés par une vulnérabilité critique. Les cybercriminels profitent de l’été et des vacances des responsables informatiques pour porter leurs attaques.

L’été, le climat de détente tend à encourager un certain relachement dans les bonnes pratiques. Les vacances de nombreux responsables informatiques invitent les utilisateurs à moins de vigilance, conduit à une surveillance moins intense des activités sur le réseau, et à moins de promptitude dans les processus de mises à jour des machines.

800 millions de PC en danger

Or les cybercriminels ne prennent pas de vacances. Au contraire, ils profitent de cette période de relâche pour porter des coups décisifs. Et il y a d’autant plus matière à s’inquiéter quand, en plein mois d’août, Microsoft publie une alerte critique invitant plus de 800 millions d’utilisateurs de Windows et Windows Server à patcher de toute urgence leur système via Windows Update. En mai dernier, Microsoft publiait un correctif pour une grave faille autour de sa technologie de prise de contrôle à distance RDP présente dans tous les Windows. Connue sous le nom de « Bluekeep », cette faille était jugée si critique que, chose rare, Microsoft avait publié un correctif y compris pour Windows XP, système depuis longtemps non maintenu par l’éditeur. En juillet, la société BitSight Technologies, annonçait d’ailleurs qu’au moins 800.000 machines n’avaient pas été patchées et demeuraient vulnérables. En travaillant sur le durcissement de la technologie RDP, les ingénieurs de Microsoft ont découvert deux autres failles très similaires à Bluekeep. Celles-ci affectent toutes les machines Windows et Windows Server en activité à l’exception de celles sous Windows XP, Windows Server 2003 et Windows Server 2008. Autrement dit, les 800 millions de PC sous Windows 10 ainsi que ceux sous Windows 7 et ceux sous Windows Server (WS 2008R2 / WS 2012 / WS 2012R2 / WS 2016 / WS 2019) sont menacés et doivent être patchés au plus vite. Car Microsoft craint que les cybercriminels ne fassent rapidement une rétro-ingénierie des correctifs pour comprendre le mécanisme des failles et les exploitent en profitant de l’été pour attaquer un maximum de machines non corrigées.

Les hôpitaux français attaqués

L’été 2019 restera dans les annales comme l’un des plus infernaux pour le secteur de la santé. Le CHU de Montpellier a été touché par un cheval de Troie bancaire. Ceux de Saint-Denis (CHU Delafontaine) et de Condrieux par des rançongiciels. Début août, ce sont les 120 établissements privés du groupe Ramsay Générale de Santé qui se sont retrouvés à devoir ressortir papiers et stylos pour gérer le quotidien alors que les serveurs du groupe se retrouvaient pris en otage par un cryptolocker. Réagissant rapidement, le RSSI (qui n’était pas en vacances) et ses équipes ont pu éteindre la messagerie et éviter que la menace ne se propage à toutes les machines du groupe. Mais, les travaux de nettoyage et réinstallation des serveurs ont duré plusieurs jours, obligeant le personnel à retourner à des pratiques ancestrales, à annuler des interventions chirurgicales non critiques, à gérer par téléphone les demandes de fourniture. Selon le groupe, aucune donnée n’a été exfiltrée. La continuité et la sécurité des soins n’ont pas non plus été affectées.

Cette multiplication des incidents de cybersécurité sur les hôpitaux français témoigne toutefois d’une activité intense d’attaques ciblées sur nos infrastructures, attaques facilitées par le fait que les postes de travail et les postes de pilotage de certains appareils (comme les scanners) sont très souvent animés par des versions anciennes de Windows. Un petit tour dans plusieurs hôpitaux d’île de France cet été nous a permis de vérifier que la plupart des machines tournaient toujours sous Windows 7 alors que le système d’exploitation entrera officiellement en fin de vie dans moins de 5 mois désormais.

A lire également :
Les leçons de l’attaque de Norsk Hydro