Suisse
Informatique

Piratage Vidymed: «le savoir des cybercriminels s'est élargi»

Vidymed a été piraté, un expert en sécurité nous explique les enjeux.

Hôpital suisse piraté: «Le savoir-faire des cybercriminels s'est élargi»

Après la cyberattaque du 7 décembre dernier qui a paralysé son réseau et rendu inaccessibles tous les dossiers patients, Vidymed a annoncé mardi 14 janvier le restauration de ses données. Décryptage d'un événement inédit avec un expert en cybersécurité.
21.01.2025, 21:0223.01.2025, 14:30
Plus de «Suisse»

Le mardi 14 janvier, soit 39 jours, après avoir été visé par une cyberattaque, Vidymed a annoncé la restauration de l'essentiel des données. Cette attaque d'ampleur avait paralysé son réseau informatique, rendant inaccessibles tous les dossiers patients, l'historique des consultations et les agendas des collaborateurs. Quelles sont les premières mesures prises lors de ce type d'attaque? Que sont devenues les données médicales des patients de Vidymed? Le secteur de la santé devient-il une cible privilégiée des hackers? Retour sur cet événement avec l'éclairage de Jean-Pierre Hubaux, professeur et directeur académique du Centre pour la confiance numérique de l’EPFL (C4DT).

Lors de la conférence de presse du groupe Vidymed, l'EPFL a été cité comme ayant collaboré avec le groupe durant la période de crise, quel a été son rôle?
Je tiens à préciser que l'EPFL n'a pas vocation à faire du soutien informatique. Il y a des entreprises privées qui sont spécialisées dans ce domaine. Dans le cas de Vidymed, ce qu'a fait l'EPFL est de l'ordre de l'entraide. Dans une situation d'urgence, on cherche des conseils et nous avons été solidaires face à cette situation.

Ceci n'est pas un bug

Nous allons revenir chronologiquement sur les événements. Samedi 7 décembre, à la prise de service du matin, les employés de Vidymed ne peuvent accéder au réseau sur leur ordinateur, leurs responsables informatiques s'aperçoivent rapidement qu'il ne s'agit pas d'un «simple bug», mais d'une «intrusion», la première action fut de couper immédiatement la connexion internet, c'est ce qu'il faut faire?
Effectivement. Couper le réseau, c'est couper la connexion internet, donc interrompre l'accès aux machines par les pirates. C'est habituellement la première réaction des institutions visées. Ce que nous constatons, de manière générale, c'est qu'au moment où l'entreprise décide de couper cette connexion, les machines ou les logiciels ne sont déjà plus opérationnels, il est donc trop tard.

«Les données ont été volées et les pirates ont même chiffré la copie qui se trouve au sein de l'entreprise afin d'empêcher le personnel d’y accéder»

Ce qui est important de savoir dans ce type de situation, c'est le timing de la demande de rançon. Si la demande intervient rapidement après le constat de l'intrusion, cela voudrait dire que les données ciblées sont déjà dans les mains des pirates.

Vidymed a dit que l'intrusion ne s'est pas faite via un phishing, soit un lien malveillant qui aurait été activé par un collaborateur, quelles sont les autres méthodes pour paralyser un système de la sorte?
Malheureusement, le savoir-faire des cybercriminels s'est élargi. On connaît la façon la plus classique de pirater un système en envoyant un lien malveillant, mais on peut aussi implanter un virus en profitant d'une faille dans les systèmes informatiques. Si je prends l'exemple d'un ransomware, le virus va rester dormant un certain temps. Il va essayer de se propager en attaquant d'autres serveurs de la même organisation et de se répandre petit à petit.

Une fois qu'il est bien implanté, il va copier les fichiers et les exfiltrer, c'est-à-dire les envoyer vers les assaillants. C'est ce qu'on appelle la phase silencieuse de l'attaque.

Le virus va donc envoyer aux pirates les fichiers qu'il a copiés à bas débit de manière à ne pas se faire repérer. Cette exfiltration peut durer des semaines, voire des mois.

Durant cette phase silencieuse, les ordinateurs ou autres logiciels continuent de fonctionner?
Oui, tout à fait. Tout semble normal alors que le virus est déjà dans votre système.

Début des négociations

Mais que se passe-t-il alors dans la phase suivante où il est impossible de démarrer les machines ou d'accéder au logiciel?
Il s'agit de la phase aiguë où vous arrivez devant votre poste et que «plus rien ne marche». Les cybercriminels bloquent l'entreprise et déclenchent la panique. Ils exigent de l'argent contre la non-divulgation des données sur le dark web et leur récupération. La demande de rançon arrive très rapidement sous la forme d'un email anonyme.

On dirait le début d'une négociation dans un film policier...
Cela y ressemble beaucoup. Le délai initial de la demande de rançon est très court, les criminels demandent de la payer en quelques jours seulement, mais l'entreprise peut aussi engager une négociation. Les cybercriminels sont rodés à ce type d'échange. C'est comme dans une prise d'otage, il y a toujours un canal de discussion et les négociations s'engagent.

Nouvelle infrastructure

Vidymed n'a pas souhaité apporter de précisions concernant les modalités de l'attaque, car le dossier est aux mains du Ministère public, mais le groupe a expliqué avoir restauré ses données via une nouvelle infrastructure informatique, pouvez-vous nous en dire plus à ce sujet?
Si les organisations sont bien préparées, elles font des sauvegardes des données, incompris des sauvegardes hors lignes, qui n'ont donc pas été accessibles par les pirates. C'est ce qu'on appelle la phase de remédiation. L'entreprise va donc récupérer ces données et les réinstaller dans les machines.

«Mais n'oublions pas que les machines ont été infectées aussi, il faudra donc les nettoyer une par une pour enlever le virus»

Cette phase peut prendre plusieurs semaines et elle est très fastidieuse.

Elle a pris 39 jours pour Vidymed, c'est une durée normale, selon vous?
Cela ne me surprend pas. C'est un travail colossal.

Vidymed n'a pas communiqué sur une éventuelle rançon, secret de l'instruction oblige, mais si le groupe a pu créer un système informatique parallèle, cela signifie probablement qu'il n'a pas payé les pirates, n'est-ce pas?
Si les mesures de sécurité comme ces sauvegardes hors ligne ont été appliquées et que l'entreprise peut les restaurer, elle peut décider de ne pas payer les pirates et de ne pas financer le crime organisé. Mais, comme je vous l'ai dit précédemment, le nettoyage du parc informatique et la restauration du système demandent non seulement des compétences particulières en informatique, mais aussi un investissement financier important. En général, les entreprises attaquées font appel à des sociétés externes pour accélérer le processus de nettoyage et de restauration. La question est:

«Est-ce que l'organisation a les capacités et les moyens de rétablir son propre système dans un délai raisonnable?»

Nous parlons ici de données médicales. C'est un sujet très émotionnel. Cette période d'incertitude a dû être très difficile pour le personnel soignant et les patients.

Faut-il payer?

Mais la cybercriminalité est un marché florissant, beaucoup de victimes paient n'est-ce pas?
Avant d'être attaquées, on entend les organisations dire qu'elles ne paieront jamais de rançon, mais quand elles sont victimes, elles se retrouvent confrontées à un dilemme. Dans l'urgence, la panique et l'ampleur de l'attaque, certaines finissent par payer.

«Il faut rappeler que si l'attaque est efficace, cela peut mener à la mort de l'entreprise»

Imaginez pour une PME de ne plus avoir accès à ses factures, commandes, suivi et clients, du jour au lendemain. Si l'entreprise est mal préparée, elle n'aura plus accès à un fichier client ni à ses archives, cela peut lui être fatal.

Quel est le montant des rançons demandées par les criminels?
Vous savez, les cybercriminels sont rusés. Les sommes demandées ne doivent pas être inatteignables. Elles doivent rester réalistes.

«Ces sommes peuvent représenter la moitié du bénéfice annuel de l'entreprise, par exemple»

Une PME de 50 salariés ne va pas payer aussi cher qu'une grande entreprise. Elles peuvent s'élever à plusieurs millions pour des multinationales, quelques dizaines de milliers de francs pour une petite entreprise. Il faut que le business fonctionne, si je peux m'exprimer ainsi.

Chercher la vulnérabilité

Est-ce que les structures de santé sont des cibles privilégiées des cybercriminels?
Les pirates attaquent tout le monde, sans aucun scrupule. Les établissements de santé ont été énormément ciblés, car les données de santé sont sensibles et les cybercriminels espèrent obtenir plus facilement des rançons. Il faut aussi souligner que les grandes structures ont des vulnérabilités qui sont liées à la complexité et la diversité extrême du parc des machines.

Vous entendez, par là, des ordinateurs vieillissants?
Oui, mais pas seulement, il peut s'agir des logiciels qui ne sont pas mis à jour par exemple.

«Plus le parc informatique est diversifié et complexe, plus il y aura des vulnérabilités»

Dans des établissements hospitaliers, nous trouvons des instruments de mesure, comme des scanners ou autres qui sont plus vieillissants et peut-être moins protégés.

Vidymed a dit que les données de ses patients ne sont pas sur le darkweb, comment peut-elle le savoir?
Sans entrer dans les détails, je dirai qu'il y a des sociétés qui sont mandatées pour explorer le darkweb et que certaines personnes sont très bien informées. C'est en quelque sorte une zone grise du darkweb.

«Les données peuvent avoir été stockées sur les machines des criminels et ceux-ci peuvent attendre avant de les dévoiler sur le darkweb»

Nul ne peut dire ce qu'il adviendra de ces données par la suite. Si les entreprises attaquées ne cèdent pas au chantage, elles prennent le risque de se voir exposer sur le darkweb, mais si elles cèdent, en payant les criminels et qu'elles récupèrent leurs données, rien ne leur garantit qu'elles ne seront plus ciblées à l'avenir. Ce sont des criminels et ils sont opportunistes. Payer est une solution à très court terme, cela montre notre vulnérabilité et les criminels peuvent recommencer sans scrupules.

Est-ce légitime de penser que, tôt ou tard, chaque entreprise sera victime d'une cyberattaque et qu'il faut tout d'abord se concentrer sur la restauration des données?
Non, ce n'est pas une fatalité. Je vais faire une analogie avec le secteur de la santé. On doit se concentrer autant sur la prévention que sur les soins. C'est la même chose concernant la cybercriminalité. Les entreprises ont besoin de se préparer aux attaques et de former leurs collaborateurs. On doit non seulement faire un effort de prévention en déployant des outils pour protéger les infrastructures, mais aussi de remédiation, c'est-à-dire, trouver la meilleure façon de restaurer son système et ses infrastructures. Aujourd'hui le risque de subir une cyberattaque est devenu systémique. C'est un business model en pleine expansion.

Retour en images sur la course à la Maison-Blanche:
1 / 26
Retour en images sur la course à la Maison-Blanche:
source: sda / cristobal herrera-ulashkevich
partager sur Facebookpartager sur X
Quand la fusée de Musk devient des feux d'artifices
Video: watson
Ceci pourrait également vous intéresser:
0 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
Ce canton ouvre une aire de transit pour les gens du voyage
Acceptée en votation cantonale en 2020, l'aire de stationnement de Wileroltigen, dans le canton de Berne va ouvrir en mars prochain. Elle permettra un séjour en toute légalité des gens du voyage.

Après des années de tergiversations, l'aire de transit pour les gens du voyage étrangers de Wileroltigen, dans le canton de Berne, va accueillir les premières caravanes en mars. Aménagé à côté d'une aire de service autoroutière de l'A1, le site offre 36 places.

L’article