Cybercrime : qui attaque l’informatique des hôpitaux français ?

Février 2021: l’une après l’autre, l’informatique de plusieurs hôpitaux français tombe en rade, victimes de cyberattaques. D’abord celui de Dax, dans les Landes, puis une semaine plus tard, celui de Villefranche-sur-Saône, dans le Rhône. Des intrusions informatiques qui vont même pousser le chef de l’Etat à réagir. Mais qui en veut donc aux hôpitaux français ?

Un rançongiciel, ce logiciel qui chiffre vos données pour ensuite vous réclamer une rançon, est soupçonné d’être derrière la plupart des cyberattaques récentes d’hôpitaux français. Il s’agirait de Ryuk, un terme qui fait référence à l’un des personnages du manga Death Note, un dieu de la mort. Découvert en août 2018, ce “ransomware” devenu très populaire est également suspecté d’être derrière de nombreuses attaques d’hôpitaux américains.

Industrialisation du cybercrime

Pour autant, si un premier suspect se dessine, l’énigme reste entière. Pourquoi ? Parce que les rançongiciels actuels fonctionnent sur le modèle de franchises largement distribuées. “Ce qui amène l’explosion actuelle des attaques, c’est l’industrialisation du secteur : nous sommes passés d’un artisanat où les fabricants utilisaient leurs propres outils à une certaine taylorisation des tâches, détaille Gerome Billois, associé au cabinet spécialisé Wavestone. Les traces laissées par Ryuk nous informent sur l’outil, mais on ne sait pas qui a commis l’intrusion dans le système informatique et propagé le rançongiciel.”

Derrière les principaux rançongiciels qui dominent la scène – Sodinokibi, NetWalker, Maze, ou encore Doppelpaymer -, se dissimule en effet toute une industrie. “Les activités vont être saucissonnées entre différentes personnes, qui ne connaissent pas forcément la technique, observe Nicolas Arpagian, auteur de l’ouvrage La cybersécurité. Quelqu’un va développer le logiciel, un autre le service, un troisième proposer un discount sur les attaques”.

Des hackers vont ainsi rechercher des failles informatiques pour pénétrer des systèmes informatiques. D’autres vont développer le logiciel de chiffrement – l’un des plus importants rançongiciel, REvil, affirme avoir une équipe de dix développeurs. Enfin, des affidés seront chargés de lancer les attaques.

À lire aussi : Comment les hôpitaux se protègent contre les cyberattaques

Une répartition des tâches qui complique l’attribution des attaques. Poursuivi en France pour son implication dans le rançongiciel Locky, le russe Alexander Vinnik a ainsi été condamné, en première instance, pour les seuls faits de blanchiment. Faute de preuves probantes, il a été relaxé par le tribunal judiciaire de Paris pour les infractions informatiques, l’intrusion et le chiffrement des données de la centaine de victimes françaises de ce rançongiciel. 

Des hackers qui mènent la grande vie

On sait en réalité peu de choses sur les nombreuses mains du cybercrime. “Il semble que ce soit plutôt des personnes relativement jeunes, la vingtaine, qui démarrent une carrière”, détaille David Kopp, responsable de l’équipe de réponse aux menaces de l’éditeur Trend Micro. “On arrive parfois à les identifier car à force de jouer avec les identités virtuelles, elles finissent par faire une erreur, comme publier une information sur le mauvais compte d’un réseau social”, ajoute-t-il.

L’expert en informatique russe Maksim Yakubets, 34 ans, soupçonné par la justice américaine d’être à la tête du gang Evil Corp, mènerait la grande vie en Russie. En témoignent ses photos devant sa Lamborghini ou son fastueux mariage. Au Canada, Sébastien Vachon-Desjardins, jusqu’ici connu de la justice pour des histoires de stupéfiants, a été arrêté en janvier pour son implication supposée dans le rançongiciel NetWalker. Il est suspecté d’être l’un des franchisés du maliciel pour un butin d’environ 28 millions de dollars. 

À lire aussi : Cybersécurité : ils piègent tous les malwares du monde

Des sommes impressionnantes. Selon les chiffres publiés par le cabinet spécialisé Chainalysis, qui scrute les transactions en cryptomonnaies, le montant des rançons versées serait passé de plusieurs dizaines de millions de dollars en 2016 à près de 350 millions de dollars en 2020. Une estimation basse, puisqu’il s’agit uniquement des transactions louches repérées. Même si les spécialistes en sécurité informatique estiment que le blanchiment obère la moitié des profits, ce business reste au final extrêmement rentable. 

Ce qui explique aussi en creux pourquoi les hôpitaux français, pourtant pas payeurs de rançons, sont victimes des attaques actuelles. “Si le système d’information n’est pas très solide, cela ne représente que quelques jours de travail”, remarque Gerome Billois. En somme, un investissement peu coûteux pour un gain maximal.